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摘 要 





形式 化 方法 是 计算 机 科学 的 一 个 传统 研究 方向 ， 是 保证 计算 机 软 人 硬件 系统 正确 性 与 安全 
性 的 重要 途径 。 本 报告 将 对 形式 化 方法 各 个 方面 最 近 5 年 的 进展 进行 相对 全 面 的 总 结 ， 包 括 
定理 证 明 、 形 式 模型 、 形 式 语 义 与 形式 建 模 、 形 式 规约 、 形 式 验证 技术 与 方法 、 形 式 验 证 工 
具 及 应 用 ， 以 及 量子 程序 的 分 析 与 验证 。 最 后 ， 本 报告 对 形式 化 方法 的 发 展 趋势 进行 展望 。 

关键 词 : 交互 式 定理 证 明 ，SMT， 自 动机 ， 形 式 语 义 ， 分 离 导 辑 ， 时 序 迎 辑 ， 演 绎 推理 ， 
抽象 解释 ， 模 型 检测 ， 符 号 执行 ， 量 子 程序 的 分 析 与 验证 





































































































Abstract 


Formal methods is a traditional research field in computer science,and is an important approach to 
guaranteeing the correctness, safety and security of computer hardware and software systems，This 
Teport will summarise the progress of different aspects of formal methods during the last five years，in a 
relatively complete way，including: theorem proving，formal models，formal semantics and formal 


modeling，formal specification ，formal verification techniques and methodologies ，formal verification 
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tools and applications ，the analysis and verification of quantum programs， This report will also discuss 
the perspectives of formal methods in the future. 

玫 eywords: Interactive theorem proving，SMT，automata，formal semantics ，separation logic ， 
temporal logic ，deductive verification ，abstract interpretation，model checking，symbolic execution ， 


the analysis and verification of quantum programs 


1 3 引 


了 路 


随 着 信息 技术 的 广泛 应 用 ， 特 别 是 信息 技术 与 物理 世界 和 人 类 社会 的 高 度 融 合 ， 整 
个 社会 的 信息 化 程度 不 断 提 高 ， 人 们 对 计算 机 系统 的 可 靠 性 与 安全 性 提出 了 更 高 的 要 求 。 
计算 机 系统 的 一 个 小 小 的 错误 或 者 安全 隐患 可 能 影响 到 国家 安全 或 者 人 民 和 群众 的 生命 财 
产 安 全 。 

形式 化 方法 是 保证 计算 机 系统 正确 性 与 安全 性 的 一 种 重要 方法 ， 甚 采用 数学 〈 逻 
辑 ) 证 明 的 手段 对 计算 机 系统 进行 建 模 、 规 约 、 分 析 、 推 理 和 验证 。 

形式 化 方法 是 计算 机 科学 的 一 个 传统 研究 方向 ， 迄 今 为 止 ， 共 有 12 位 学 者 因为 或 者 
部 分 因为 形式 化 方法 的 研究 工作 而 获得 图 灵 奖 。 形 式 化 方法 是 一 个 基础 性 和 交叉 性 很 强 
的 研究 方向 ， 它 与 计算 机 科学 的 其 他 分 支 如 计算 理论 、 编 程 语 言 、 软 件 工程 、 计 算 机 安 
全 等 都 密切 相关 ; 同时 ， 近 年 来 与 生物 信息 、 控 制 理 论 、 电 子 自 劲 化 设计 等 多 个 学 科 交 
叉 明 显 。 

形式 化 方法 越 来 越 受 到 国际 /国内 计算 机 学 术 界 的 重视 ， 比 如 国际 组 织 IFIP 下 面 至 少 
有 三 个 工作 组 〈working group) 与 形式 化 方法 相关 ， 欧 洲 有 专门 的 形式 化 方法 组 织 FME， 
美国 计算 机 学 会 (ACM) 在 2014 年 成 立 了 SIGCLOG ， 即 逻辑 与 计算 专 委 会 (Special Interest 
Group on Logic and Computation) ， 涵 盖 计 算 逻 辑 、 自 动机 理论 、 形 式 语 义 、 程 序 验证 等 方 
向 ， 而 中 国 计 算 机 学 会 则 在 2015 年 成 立 了 形式 化 方法 专业 组 ， 今 年 刚刚 正式 更 名 为 “ 形 
式 化 方法 专业 委员 会 ”。 

形式 化 方法 方面 的 国际 旗舰 会 议 包括 关注 形式 化 方法 的 理论 基础 的 LICS (Logicm 
Computer Science ) 、 关 注 形 式 化 方法 的 理论 和 应 用 结合 的 CAV(Computer- Aided Verification ) 
和 FM(Intermnational Symposium on Formal Method) 、 关 注 自 动 推理 的 JCAR(International Joint 
Conference on Automated Reasoning) 等 。 

由 于 形式 化 方法 在 保证 计算 机 软 硬 件 系统 的 正确 性 和 可 靠 性 方面 的 有 效 性 ， 它 已 经 
被 许多 国际 标准 化 组 织 列 为 安全 依 关 系统 必 备 的 技术 手段 。 例 如 ， 国 际 航空 软件 标准 
D0178B、D0178C 中 明确 要 求 开 发 安全 可 靠 的 航空 软件 必须 使 用 形式 化 方法 ; 又 如 ,在 
软件 安全 等 级 SIL1-4 中 ， 安 全 级 别 最 高 的 SILL3 和 SIL4 要 求 必 须 使 用 形式 化 方法 。 而 且 ， 
形式 化 方法 已 经 逐渐 为 开 产业 界 所 接受 和 采纳 ， 例 如 : 

。 微软 开发 了 一 系列 影响 深远 的 形式 化 验证 工具 ， 比 如 Z3 、Dafny、F”、SLAM 等 ， 

用 于 对 其 开发 的 众多 软件 的 正确 性 进行 分 析 。 
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。 Facebook 将 基于 分 离 逻 辑 的 验证 工具 Infer 广泛 用 于 其 Android 应 用 的 开发 过 
程 中 。 
。 亚马逊 在 2014 年 成 立 了 自动 推理 组 ,用 SMT 求解 吉 去 验证 其 Web 服务 的 正 
确 性 。 
。 国内 的 华为 公司 最 近 建 立 了 形式 验证 团队 ， 使 用 定理 证 明 辅 助 工 具 来 验证 操作 系 
统 内 核 的 正确 性 和 安全 性 。 
形式 化 方法 使 用 数学 (逻辑 ) 证 明 的 手段 对 计算 机 系统 进行 建 模 、 规 约 、 分 析 、 推 
理 ， 其 主要 涵盖 以 下 几 个 研究 方向 : 
。 定理 证 明 : 对 娃 辑 推理 过 程 进 行 研究 ， 尽 可 能 提高 逻辑 推理 过 程 的 自动 化 程度 。 
。 形式 模型 : 对 形式 模型 的 理论 性 质 和 各 种 判定 问题 进行 研究 ， 提 出 高 效 的 判定 算 
法 ， 并 开发 原型 工具 。 
。 形式 语义 与 形式 建 模 : 为 了 对 计算 机 系统 的 行为 进行 推理 验证 ， 需 要 对 编程 语言 
的 语义 进行 严格 的 定义 ， 使 用 形式 模型 对 计算 机 系统 的 行为 进行 建 模 。 
。 形式 规约 : 为 了 对 计算 机 系统 的 行为 进行 推理 验证 ， 也 需要 对 程序 行为 所 满足 的 
性 质 用 某 种 形式 语言 (逻辑 、 自 动机 等 ) 进行 严格 的 定义 。 
。 形式 验证 技术 与 方法 : 在 形式 语义 /形式 建 模 以 及 形式 规约 的 基础 上 ， 将 计算 机 
系统 的 分 析 与 验证 问题 转化 为 逻辑 推理 问题 或 者 形式 模型 的 判定 问题 ， 用 定理 证 
明 工具 /求解 器 或 者 某 个 形式 模型 的 原型 工具 来 进行 验证 。 
。 形式 验证 工具 以 及 应 用 : 基于 形式 验证 理论 、 方 法 和 技术 上 的 研究 成 果 ， 开 发 自 
动 形式 验证 工具 并 在 工业 级 系统 中 进行 应 用 。 
。 量子 程序 分 析 与 验证 : 针对 量子 程序 的 特点 发 展 其 分 析 与 验证 理论 、 方 法 、 及 
工具 。 
本 报告 将 对 形式 化 方法 最 近 5 年 的 国内 外 研究 进展 进行 相对 全 面 的 介绍 ， 并 对 发 展 
趋势 进行 展望 。 
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2.1 定理 证 明 


定理 证 明 方 面 的 研究 可 以 分 成 两 部 分 : 交互 式 定理 证 明 (interactive theorem proving ) 
和 自动 推理 (automated reasoning) 。 

交互 式 定理 证 明 的 目标 是 通过 用 户 和 计算 机 相互 协助 来 完成 一 个 形式 化 证 明 。 这 里 
所 用 到 的 工具 叫 作证 明 辅 助 工具 〈proof assistant) 。 现 在 最 常用 的 两 个 证 明 辅 助 工 具 是 
Cod 和 Isabelle。 其 他 的 证 明 辅 助 工 具 包 括 HOL Light、HOL4 、PVS、ACL2 、Lean 、Mizar 
等 。 由 于 在 证 明 的 过 程 中 用 户 可 以 向 计算 机 提供 各 种 帮助 ， 因 此 这 种 方法 可 以 用 来 验证 
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非常 复杂 的 定理 。 但 同时 ， 现 在 的 证 明 辅 助 工 具 操作 起 来 还 比较 烦琐 ， 所 以 使 用 的 门槛 


忆 。 
自 劲 推理 的 目标 是 让 计算 机 完全 自动 地 证 明 一 个 数学 命题 。 目 前 这 个 领域 最 常用 的 
算法 包括 SMT (Satisfiability Modulo Theory) 和 归结 (〈resolution ) 。 基 于 SMT 的 证 明 器 包 
括 Z3 、CVC4 等 。 基 于 归结 原理 的 证 明 器 包括 SPASS 、Vampire 等 。 这 些 算法 的 使 用 不 需 
要 (或 需要 更 少 的 ) 人 为 干涉 ， 所 以 在 计算 机 系统 的 推理 和 验证 方面 得 到 了 广泛 的 应 
用 ， 但 另 一 方面 ， 能 用 这 种 方法 证 明 的 数学 命题 比较 有 限 。 
下 面 对 交 互 式 定 理 证 明和 自动 推理 这 两 方面 近 5 年 的 国际 研究 现状 进行 总 结 。 

















2.1.1 交互 式 定理 证 明 





交互 式 定 理 证 明 的 自动 化 传统 上 依靠 在 证 明 辅 助 工具 里 实现 证 明 策 略 (tactic)。 几 
乎 所 有 和 常 用 的 证 明 辅 助 工具 都 提供 了 实现 证 明 策 略 的 语言 。 如 何 改 善 这 些 语 言 ， 让 用 户 
更 直观 地 实现 证 明 策 略 是 一 个 长 久 的 问题 。 在 许多 证 明 辅 助 工具 里 ， 证 明 策 略 可 以 用 实 
现 这 个 工具 的 语言 〈 比 如 0Caml 或 ML) 来 实现 。 在 Cod 里 ，Ltac 提供 了 一 个 更 高 层次 
的 证 明 策 略语 言 。Eisbach “尝试 在 Isabelle 里 面 实现 类 似 的 功能 。Lean' ”是 一 个 最 新 的 
证 明 辅 助 工 具 ， 其 中 的 一 个 设计 重点 是 允许 更 有 效 的 证 明 策略 的 实现 ”; 。 

另 一 种 自动 化 方法 是 调用 证 明 辅 助 工具 之 外 的 自动 证 明 器 " 。 外 部 证 明 器 的 调用 可 
以 分 成 以 下 几 个 步骤 。 首 先 ， 根 据 要 证 明 的 子 目 标 ， 从 已 有 的 定理 中 筛选 一 部 分 相对 更 
有 可 能 用 到 的 定理 〈premise selection) 。 然 后 ， 这 些 筛 选 出 来 的 定理 和 子 目标 一 起 被 转换 
成 无 类 型 的 一 阶 逻辑 ， 交 给 自动 证 明 需 求解 。 最 后 ， 如 果 自 动 证 明 需 能 够 证 明 命题 ， 证 
明 辅 助 工 具 可 以 直接 信任 这 个 结果 ， 或 通过 上 自动 证 明 需 反馈 的 信息 在 自己 的 系统 里 重新 
合成 证 明 。 

很 多 证 明 辅 助 工具 都 在 使 用 或 尝试 使 用 这 种 自动 化 方法 。 其 中 ，Isabelle 里 的 
Sledgehammer 最 具 代 表 性 ， 现 在 已 成 为 Isabelle 大 多 数 应 用 中 必 不 可 少 的 工具 。 最 近 为 改 
善 Sledgehammer， 有 以 下 一 些 研究 : 文献 [2」 加 入 了 SMT 证 明 咒 的 使 用 ， 文 献 [19 ] 
改善 了 从 Isabelle 里 的 类 型 到 无 类 型 逻辑 之 间 的 转换 ， 文献 [20] 用 机 融 学 习 的 方法 改善 
了 筛选 已 有 定理 的 过 程 。 自 动 证 明 器 的 使 用 在 其 他 一 些 证 明 辅 助 工 具 中 也 进行 了 尝试 ， 
比如 HOL Light[2] 、Codqt21 等。 

使 用 外 部 自动 证 明 器 的 一 个 弱点 是 无 法 处 理 涉 及 高 阶 逻 辑 的 命题 。 虽 然 存 在 一 些 从 
高 阶 逻 辑 的 命题 转换 到 一 阶 逻 辑 的 算法 ， 但 转换 的 过 程 可 能 会 让 命题 变 得 非常 烦琐 。 由 
Jasmin Blanchette 主持 的 Matryoshka 项 目 希 望 在 已 有 的 自动 证 明 器 的 理论 基础 上 加 上 对 高 
阶 逻 辑 的 文 持 。 最 近 的 成 果 包 括 文献 [1-12]。 

在 证 明 辅 助 工 具 的 设计 中 ， 逻 辑 基 础 是 一 个 非常 重要 的 课题 。 除 了 保证 可 靠 性 以 外 ， 
选用 的 逻辑 基础 应 当 能 够 有 效 地 表达 需要 证 明 的 理论 ， 并 且 让 实际 的 证 明 过 程 尽 可 能 方 
便 。lsabelle/HOL、HOL Light、HOL4 等 工具 使 用 一 种 简单 的 〈 不 包含 依赖 类 型 的 ) 类 型 
论 (simple type theory， 或 者 叫 higher-order logic) 。Coqd 和 Lean 使 用 依赖 类 型 论 (dependent 
type theory) 。 逻 辑 基 础 的 一 个 最 新 进展 是 homotopy type theory[) 。 这 是 一 个 基于 依赖 类 
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型 的 更 复杂 的 类 型 论 。 除 了 这 个 逻辑 在 数学 基础 上 本 身 的 意义 外 ， 它 也 人 允许 用 相对 简单 
的 方式 定义 和 计算 代数 拓扑 里 的 基本 群 (和 同 伦 群 ) 吕 ] 。 在 另 一 个 方向 ， 也 在 尝试 选用 
无 类 型 的 集合 论 作 为 逻辑 基础 。 文 献 [31」 用 这 个 基础 验证 了 一 些 包 括 基本 群 的 传统 数 
学 理论 。 

数据 类 型 是 定理 证 明 器 的 逻辑 基础 中 最 重要 的 部 分 之 一 。Cod 等 基于 依赖 类 型 论 的 
定理 证 明 器 ， 在 引入 数据 类 型 时 需要 对 其 逻辑 演算 进行 扩展 ， 此 类 扩展 的 正确 性 由 逻辑 
学 家 的 元 理论 分 析 作 为 支撑 。 与 此 不 同 ， 在 HOL4 、Isabelle/HOL 等 基于 简单 类 型 论 的 定 
理 证 明 器 中 ， 数 据 类 型 的 引入 所 采用 的 是 “定义 扩展 ” (definitional extension) 的 方式 。 
自 2011 年 开始 ，IsabeleZHOL 中 的 数据 类 型 定义 机 制 发 生 了 很 大 变化 过 。 基 于 范畴 论 构 
造 的 新 数据 类 型 包 赫 换 了 原 有 的 数据 类 型 包 ， 由 此 获得 了 更 好 的 开放 性 和 更 加 灵活 多 样 
的 表达 方式 。 这 方面 最 新 的 进展 是 文献 [28]」 在 HOL 中 引入 了 “nonuniform 数据 类 型 。 

数学 理论 的 形式 化 既是 交互 式 定理 证 明 的 原始 目标 ， 也 是 验证 计算 机 系统 的 基础 。 
这 方面 有 两 个 大 型 项 目 在 最 近 几 年 完成 : 奇 序 定理 〈odd order theorem) ] 和 开 善 勤 猜 想 
的 证 明 忆 ] 。 这 两 个 项 目 各 自 都 耗费 了 超过 20 人 年 的 时 间 。 奇 序 定理 是 群 论 里 面 的 一 个 
结果 ， 由 Feit 和 Thompson 在 1962 年 证 明 ， 论 文 长 达 255 页 ， 其 中 涉及 表示 论 、 伽 罗 瓦 
理论 等 比较 深奥 的 数学 理论 。 开 普 勒 猜想 在 1998 年 被 Hales 证 明 ， 其 中 涉及 大 量 在 计算 
机 上 进行 的 计算 ， 所 以 证 明 的 正确 性 也 曾经 存在 争议 。 

除了 这 两 个 大 型 项 目 外 ， 形 式 化 数学 在 各 个 基础 领域 都 有 进展 。 在 数学 分 析 方 面 ， 
文献 16」 验证 了 常 微分 方程 的 一 些 基 本 理论 。 这 项 工作 之 后 被 用 来 验证 Smale" s 14th 
problem 的 一 部 分 证 明 咏 。 同 时 ， 它 也 被 用 来 验证 一 个 混成 系统 的 逻辑 基础 玉 ] 。 在 概率 
论 方面 , 文献 [8] 在 Isabelle 里 建立 了 基本 理论 。 它 在 文献 [9」 里 被 用 来 验证 关于 马 
尔 可 夫 链 和 马尔 可 夫 决 策 过 程 的 基本 特征 。 在 线性 代数 方面 ， 最 近 被 验证 的 结果 包括 
jordan Normal Formi22 和 Perron- Frobenius 定理 荆 ] 。 线 性 代数 最 近 被 用 于 证 明了 一 个 关于 
深度 学 习 表 达能 力 的 定理 记 ] 。 

形式 化 数学 也 可 以 用 于 验证 各 种 数值 和 符号 算法 。 最 近 的 工作 包括 在 Cod 里 验证 一 
个 数值 计算 定 积分 的 算法 5 。 这 项 工作 实现 并 验证 了 一 个 完全 可 信 的 算法， 并 在 测试 的 
过 程 中 找到 了 一 些 已 有 的 实现 上 的 错误 。 另 一 个 主要 的 验证 目标 是 多 项 式 问题 判定 的 算 
法 。 文 献 [15] 在 Isabelle 里 完成 了 一 元 多 项 式 问 题 判 定 得 到 的 证 书 (certificate) 的 验 
证 。 验 证 多 元 多 项 式 判定 证 书 所 需要 的 柯 西 留 数 定理 也 已 经 被 验证 。 这 一 系列 工作 的 
最 终 目 标 是 将 实数 定理 的 专用 证 明 器 MetiTarski 整合 到 Isabelle 系统 中 。 

其 他 一 些 最 近 被 验证 的 定理 包括 哥 德 尔 不 完备 定理 品 、 中 心 极限 定理 六 、 格 林 公 
式 55] 、 基 本 的 纽 结 理论 ( 吕 ] 等 。 

Alexandriat5 是 由 Larry Paulson 主持 的 形式 化 数学 方面 的 项 目 。 它 的 目标 包括 整理 已 
有 的 工作 并 填补 空 院 ， 以 得 到 一 个 覆盖 所 有 大 学 水 平 数学 的 形式 化 数学 库 。 同 时 ， 它 也 
希望 提高 Isabelle 系统 在 形式 化 数学 方面 的 可 用 性 。 这 里 包括 提供 各 种 定理 搜索 功能 ， 以 
及 上 自 劲 同 用 户 推荐 证 明 方 法 。 这 个 项 目的 另外 一 个 目标 是 在 Isabelle 里 融入 和 整理 各 种 可 
以 被 验证 的 数值 和 符号 算法 。 
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2.1.2 自动 推理 


在 理论 计算 机 科学 和 人 工 智 能 领域 中 ， 逻 辑 公式 的 可 满足 性 问题 一 直 是 一 个 重要 的 
问题 。 世 界 各 国学 者 在 这 方面 做 了 大 量 研 究 工 作 ， 特 别 是 在 命题 逻辑 的 可 满足 性 问题 
(SAT) 上 取得 了 很 大 进展 。SAT 是 命题 逻辑 推理 中 的 一 个 经 典 的 判定 问题 ， 也 是 第 一 个 
被 证 明 为 NP 难 的 问题 ， 一 直 备 受 关 注 。 但 是 随 着 研究 的 深入 ， 人 们 发 现 SAT 的 表达 能 
力 和 应 用 范围 有 很 大 的 局 限 性 。 因 此 ，SMT 近年 来 开始 引起 人 们 的 极 大 兴趣 。SMT 的 研 
究 对 象 是 各 种 领域 知识 的 逻辑 组 合 ， 经 常 表达 为 带 等 词 的 一 阶 逻辑 公式 名 。 与 SAT 判断 
布尔 公式 的 可 满足 性 不 同 ，SMT 判断 的 是 理论 组 合 的 可 满足 性 ， 它 的 抽象 层次 更 高 ， 表 
达能 力也 更 强 。 它 可 以 看 作 是 对 SAT 的 扩展 ， 将 SAT 中 的 某 些 布尔 变量 用 理论 谓词 取 
代 。 例 如 ,， x+2=yVx=Ay-x+l) 是 SMT 的 一 个 实例 ， 它 包含 了 两 个 理论 : 线性 算 
术 、 未 解释 函数 。 如 果 用 布尔 变量 P1 表示 线性 理论 上 的 谓词 x +2 =y，P2 表示 包含 未 解 
释 函 数 的 等 式 Y=Ay -x+1l)， 则 此 SMT 公式 将 变 为 一 个 命题 巡 辑 公式 PI1 V P2。SMT 涉 
及 的 理论 是 一 些 数 学 理论 和 计算 机 领域 内 用 到 的 数据 结构 理论 ,包括 差分 逻辑 
(difference logic) 、 线 性 算术 理论 〈linear arithmetic， 包 括 线性 实数 算术 〈(LRA) 和 线性 
整数 算术 (LIA)) 、 位 向 量 (bit vector) 、 数 组 (array) 、 未 解释 的 函数 〈uninterpreted 
funetion) 等 5 。 随 着 SMT 应 用 范围 的 扩展 ， 新 的 理论 也 被 不 断 地 加 入 ， 例 如 近年 来 兴 
起 的 集合 理论 。 为 了 表达 方便 ， 自 动 推 理 领 域 使 用 记号 SMT(T) 来 表示 理论 T 上 的 SMT 
公式 ， 如 线性 实数 算术 理论 上 的 SMT 公式 记 为 SMTCLRA) ， 位 向 量 上 的 SMT 公式 记 为 
SMT(BV) 等 。 

对 SMT 求 解 的 研究 不 但 是 自动 推理 、 约 束 求 解 领域 主流 国际 会 议 UCAR/ZCADE 、CP 
和 SAT 的 主题 之 一 ， 在 验证 和 分 析 领 域 的 著名 国际 会 议 CAV、TACAS 上 也 是 非常 受 关 注 
的 议题 。SMT 也 受到 产业 界 的 高 度 关注 。 微 软 、Intel 、Cadence 、NFEC 等 公司 的 研究 院 或 
实验 室 都 在 开展 与 SMT 相关 的 研究 项 目 。 自 2005 年 以 来 ， 自 动 推理 学 界 每 年 都 举办 SMT 
求解 器 比赛 (SMT-COMP) 5 ， 以 促进 研究 者 不 断 改进 SMT 求解 器 的 性 能 。 目 前 ， 比 较 
有 代表 性 的 SMT 工具 包括 美国 爱 荷 华 大 学 的 CVC4[ 别 ] 、SRI International 的 Yicest5 、 微 
软 的 23 号 等， 它们 被 集成 于 多 个 研究 领域 的 自动 工具 之 中 ， 如 高 阶 逻 辑 的 交互 式 理论 证 
明 器 HOL、Isabelle 、ACL2 ， 模 型 检测 工具 BLAST、MAGIC， 程 序 分 析 工 具 KLEF 等 。 

SMT 是 理论 谓词 的 逻辑 组 合 ， 其 可 满足 性 涉及 两 个 层面 : 命题 逻辑 层次 与 理论 层次 。 
根据 如 何 处 理 这 两 个 层面 上 的 可 满足 性 ，SMT 求解 的 主流 算法 经 历 了 从 积极 〈eager) 类 
算法 到 惰性 〈lazy) 类 算法 的 演变 。 

SAT 求解 技术 取得 的 重大 进步 推动 了 积极 算法 的 发 展 ， 积 极 算 法 是 早期 的 SMT 求解 
器 采用 的 算法 ， 也 称 为 bit-blasting。 它 是 将 SMT 公式 转换 成 可 满足 性 等 价 的 命题 逻辑 公 
式 ， 一 般 为 CNF 形式 ， 然 后 用 SAT 求解 器 求解 。 这 种 方法 的 好 处 是 可 以 采用 高 效 的 SAT 
求解 器 ， 同 时 它 的 求解 效率 也 依赖 于 SAT 求解 器 的 效率 。 对 于 不 同 的 理论 ， 积 极 算法 需 
要 用 不 同 的 转换 方法 和 改进 方法 以 提高 转换 和 求解 的 效率 。 例 如 ， 对 于 EUF 一 般 用 per- 
constraint 编码 ， 对 于 DL 通常 用 small- domain 编码 等 。 积 极 算 法 的 正确 性 依赖 于 编码 的 正 
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确 性 和 SAT 求解 需 的 正确 性 ， 而 且 对 于 一 些 大 的 例子 来 说 ， 编 码 成 CNF 公式 很 容易 引起 
组 合 爆炸 ， 也 惑 是 公式 的 长 度 指数 级 增长 ， 因 此 这 类 方法 在 实际 应 用 中 效果 不 是 很 好 ， 
一 般 解 决 不 了 规模 较 大 的 工业 界 实例 。 但 由 于 位 向 量 理论 上 的 SMT 公式 (SMT(BV) ) 
与 命题 逻辑 公式 较为 相似 ， 因 此 bit-blasting 仍 为 求解 SMT(BV) 的 主要 算法 。 

惰性 算法 是 目前 主流 的 SMT 求解 方法 ， 也 是 当前 研究 最 多 的 算法 。 这 种 算法 框架 被 
称 为 DPLLCT) 算法 55] 。 其 基本 思路 是 : 将 DPLL 风格 的 SAT 判定 过 程 与 特定 理论 的 求 
解 器 (T-solver) 紧密 结合 ， 基 于 DPLL 的 SAT 求解 器 负责 命题 逻辑 部 分 的 推理 ， 得 到 对 
布尔 变量 的 〈 部 分 ) 赋值 ， 而 理论 求解 圳 负责 判断 SAT 求解 器 得 到 的 赋值 一 一 理论 谓词 
的 合 取 的 可 行 性 。 这 里 ，DPLLCT) 中 的 了 代表 理论 。 如 果 了 是 线性 算术 理论 ，T-solver 
可 以 是 Simplex 算法 或 它 的 变种 。DPLL(T) 这 一 名 称 的 含义 是 ， 这 是 一 个 集成 了 DPLL 
算法 的 框架 ， 可 以 结合 不 同 理论 及 其 判定 过 程 而 实例 化 。 早 先 的 DPLLCT) 算法 是 将 SAT 
求解 吉 (DPLL 部 分 ) 当 作 黑 盒 ， 理 论 求解 器 检查 模型 的 一 致 性 要 等 到 DPLL 算法 给 出 一 
个 解 之 后 才 进 行 ， 这 种 方法 的 缺点 是 理论 求解 天 很 少 参 与 DPLL 的 求解 过 程 。 后 来 出 现 
了 online 方法 对 其 做 了 改进 ， 使 得 理论 求解 需 参 与 DPLL， 从 而 提高 了 求解 效率 。 这 些 改 
进 主要 有 理论 预 处 理 、 选 择 分 支 、 理 论 推导 、 理 论 冲 突 分 析 和 引 理 学 习 等 。 为 了 DPLL 
求解 与 理论 求解 更 为 有 效 地 结合 ， 理 论 判 定 过 程 一 般 要 设计 为 增 量 式 的 〈incremental ) 
和 可 回溯 的 〈backtrackable ) 。 

DPLL(T) 算法 是 完备 求解 算法 。 为 了 对 DPLL(CT) 的 求解 能 力 形成 补充 ， 近 年 来 ， 
研究 人 员 开 始 尝试 用 非 完 备 算法 求解 SMT。Hrahlich 等 人 针对 位 向 量 理论 上 的 SMT 公式 
(CSMT(CBV) ) ， 提 出 了 在 理论 层面 设计 局 部 搜索 算法 ,将 SAT 的 局 部 搜索 算法 中 的 一 些 先 
进 技术 提升 到 理论 层面 上 5 。Niemetz 等 人 进一步 将 位 向 量 上 的 推理 机 制 与 局 部 搜索 算 
法 相 结合 呈 汪 1， 从 而 大 幅 提 高 了 局 部 搜索 的 效果 。 特 别 是 当 将 局 部 搜索 与 基于 bit- 
blasting 的 完备 算法 混合 使 用 时 ， 对 很 多 SMT(CBV) 实例 的 求解 可 以 加 速 1 ~ 3 个 数量 级 。 
但 位 向 量 是 比较 接近 于 SAT 的 理论 ， 在 算术 理论 等 其 他 理论 上 如 何 设 计 局 部 搜索 算法 仍 
是 一 个 具有 挑战 性 的 问题 。 除 了 局 部 搜索 之 外 ， 研 究 人 员 也 尝试 了 其 他 新 颖 的 非 完备 算 
法 来 求解 SMT 问题 。 在 线性 整数 理论 方面 ，Bromberger 等 人 提出 了 用 空间 超 立 方 体 探测 
SMTCLIA) 公式 解 空 间 内 部 的 方法 ， 该 方法 适用 于 含 整 数 解 数目 众多 的 SMT(CLIA) 公 
式 ， 对 于 SMT-LIB 中 部 分 公式 的 求解 速度 比 目 前 的 SMT 求解 器 快 了 几 个 数量 级 忆 ] 。 在 
浮 点 数理 论 方面 ，Fu 等 人 将 SMT 转 成 一 个 无 约束 的 优化 问题 ， 然 后 用 蒙特 卡 罗 马 尔 可 夫 
链 (MCMC) 的 方法 求解 ， 在 一 些 实例 上 获得 了 比 Z3 等 SMT 求解 需 快 700 倍 以 上 的 
效果 [1 。 































































































2. 2 ”形式 模型 


在 计算 机 科学 中 ， 形 式 模 型 一 般 指 用 来 对 特定 结构 〈 比 如 串 和 树 ) 进行 接受 、 生 成 
和 变换 的 数学 模型 。 形 式 模型 包括 自动 机 、 文 法 和 重 写 系 统 等 。 对 形式 模型 的 研究 贯 穿 
计算 机 科学 的 发 展 历程 ， 它 葛 定 了 计算 机 科学 的 很 多 分 文 的 理论 基础 。 
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图 灵机 一 一 现代 计算 机 的 理论 模型 ， 是 最 早 提出 和 被 人 研 究 的 形式 模型 之 一 ， 它 被 证 
明和 其 他 几 种 形式 模型 〈 比 如 递归 函数 、A 演算 等 ) 是 等 价 的。 而 有 限 自 动机 和 上 下 文 
无 关 文 法 是 编程 语言 的 词法 和 语法 分 析 的 理论 基础 。 

由 于 篇 幅 的 限制 ， 本 报告 主要 集中 在 自动 机 模型 上 。 经 典 的 自动 机 模型 包括 有 限 自 
动机 、 下 推 自 动机 、 图 灵机 等 。 为 了 将 对 系统 行为 的 推理 从 有 限 状态 扩展 到 无 穷 状 态 ， 
从 定性 推理 扩展 到 定量 推理 ， 研 究 人 员 考 虑 了 经 典 自 动机 模型 的 各 种 扩展 ， 比 如 带 概率 
的 自动 机 模型 、 时 间 自 动机 模型 、 混 成 目 动 机 模型 等 。 近 20 年 来 ， 在 工业 界 尤其 在 硬件 
的 分 析 和 验证 上 取得 很 大 成 功 的 自动 验证 〈 模 型 检测 ) 工具 ， 比 如 SPIN 、UPPAAL、 
PRISM 等 ， 分 别 建立 在 无 穷 串 上 的 自动 机 、 时 间 自 动机 以 及 概率 自动 机 的 基础 上 。 

下 面 对 概 率 自 动机 模型 、 混 成 自动 机 模型 以 及 无 穷 状 态 并 发 系统 模型 近 5 年 的 国际 
研究 进展 进行 介绍 。 























2. 2. 1 ”概率 自动 机 模型 


为 了 对 概率 系统 的 性 质 进 行 推 理 与 验证 ， 研 究 人 员 提出 了 很 多 概率 自动 机 模型 ， 包 
括 : 离散 时 间 马 尔 可 夫 链 (DTMC ) 忆 ] ， 连 续 时 间 马 尔 可 夫 链 (CTMC ) 呈  ， 离 散 时 间 马 
尔 可 夫 决 策 过 程 (MDP)5s ， 连 续 时 间 马 尔 可 夫 决 策 过 程 (CTMDP)IeI! 、 概 率 自 动机 
(propabilistic automata) [1 。 离 散 时 间 马 尔 可 夫 链 和 离散 时 间 马 尔 可 夫 决 策 过 程 可 以 看 成 
概率 自动 机 的 子 模型 。 

概率 自动 机 模型 的 本 质 是 在 经 典 自动 机 模型 中 加 入 相同 行为 下 的 不 确定 性 选择 和 对 
应 的 概率 行为 ， 从 而 在 行为 标记 上 同时 表达 非 确定 性 和 概率 行为 。 文 献 [103] 指出 ， 概 
率 模型 中 的 非 确定 性 选择 非常 适合 刻画 并 发 和 分 布 式 系 统 。 概 率 系统 的 性 质 多 用 经 典 逻 
辑 的 概率 扩展 来 进行 规约 ， 比 如 概率 分 支 时 序 罗 辑 (PCTL )573] 概率 线性 时 序 逻 辑 
(PLTL) 以 及 它们 的 结合 PCTL 5*1 。 概 率 模型 检测 的 本 质 是 将 验证 问题 转化 为 数学 问 
题 。 比 如 ， 离 散 时 间 马 尔 可 夫 链 上 的 PCTL 模型 检测 问题 可 归 约 到 线性 方程 组 的 求解 ， 
其 时 间 复 杂 度 是 多 项 式 的 5 ;而 其 上 的 PLTL 模型 检测 问题 则 更 为 复杂 ， 是 PSPACE 完 
全 的 ; 该 问题 在 马尔 可 夫 决 策 过 程 中 则 更 为 复杂 ， 时 间 复 杂 度 是 双 指数 的 ”] 。 在 连续 时 
间 马 尔 可 夫 链 上 , 文献 [71] 中 最 先 提出 了 连续 随机 逻辑 (CSL) 的 验证 算法 ， 随 后 ， 
文献 【73] 中 提出 了 高 效 的 近似 算法 。 在 概率 自动 机 上 添加 时 间 属 性 可 以 将 其 扩展 为 概 
率 时 间 自 动机 ， 概 率 时 间 自 动机 的 模型 检测 问题 最 早 在 文献 【97] 中 得 以 研究 ， 其 验证 
基于 度量 时 序 逻 辑 (MTL) II 。 因 其 直观 易 用 ,文献 【100] 对 其 进行 了 系统 的 研究 ， 尽 
管 MTL 本 身 不 可 判定 ， 但 它 的 很 多 子 逻 辑 都 是 可 判定 的 。 

和 经 典 的 模型 检测 问题 一 样 ， 概 率 模 型 检测 同样 面临 着 状态 空间 爆炸 的 问题 。 针 对 
这 一 问题 的 主要 优化 思路 是 状态 约 简 和 符号 化 方法 。 在 状态 约 简 方法 中 ， 互 模拟 技术 被 
应 用 得 最 多 ， 其 主要 思想 就 是 把 行为 一 致 的 状态 放 在 一 起 ， 通 过 求 得 商 系统 来 缩小 状态 
空间 。 在 概率 自动 机 上 ,文献 【132] 中 首先 提出 了 概率 自动 机 上 基于 状态 的 互 模拟 关 
系 ， 随 后 ,文献 [81] 中 提出 了 基于 分 布 的 互 模拟 关系 ，[87] 中 提出 了 基于 分 布 的 互 
模拟 关系 的 高 效 算法 。 概 率 互 模拟 在 逻辑 刻画 、 度 量 刻画 、 算 法 研究 以 及 弱 互 模拟 关系 
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等 方向 的 工作 非常 广泛 ， 比 如 文献 【98，79，101,， 85，117] ， 在 理论 层面 还 有 一 些 基 于 
范畴 论 的 语义 和 互 模拟 、 模 拟 关 系 的 刻画 ， 比 如 [106]。 而 符号 化 方法 则 是 用 二 叉 决 策 
图 (BDD) 汪 节省 模型 的 存储 ， 加 快运 算 效率 ， 近 些 年 多 端 二 又 决策 图 (MTBDD) 在 概 
率 模型 检测 方面 有 着 相当 不 错 的 结果 所 ; 。 基 于 概率 自动 机 及 其 他 概率 模型 的 概率 模型 检 
测 在 验证 实际 软件 、 系 统 和 协议 中 起 到 了 关键 作用 。 概 率 模 型 检测 工具 PRISMIsI 上 已 经 
有 大 量 的 应 用 案例 ， 包 括 随 机 的 分 布 式 算法 、 通 信 协 议 、 网 络 协议 、 多 媒体 协议 、 攻 击 
下 的 安全 性 、 量 子 加 密 协 议 、 仿 生 算 法 、 控 制 软 件 、 博 弈 、 性 能 评估 和 可 靠 性 、 电 源 管 
理 等 。 研 究 人 员 已 经 使 用 概率 时 间 上 自动 机 和 概率 IO 上 自动 机 验证 了 许多 在 实践 中 被 广泛 
应 用 的 标准 协议 ， 比 如 IEEE 802.3 载波 监听 多 点 接 人 /碰撞 检测 协议 后 、IEEE 1394 
火线 根 竞 争 协议 : 、IEEE 802. 11 无 线 局 域 网 协议 加 、IPv4 Zeroconf( 零 配置 网 络 服务 规 
范 ) 协议 和正 FEE 802. 15.4 载波 侦 听 多 路 访问 /冲突 避免 协议 (ZigBee)5” 。 





















































2.2.2 混成 自动 机 模型 


混成 系统 是 一 种 嵌入 在 物理 环境 下 的 实时 系统 ， 一般 由 离散 组 件 和 连续 组 件 连 接 组 
成 ,组 件 之 间 的 行为 由 计算 模型 进行 控制 ， 其 演化 过 程 由 离散 事件 跳 变 和 连续 时 间 动 态 
过 程 共 同 完 成 。 而 混成 模型 是 针对 混成 系统 的 数学 模型 。 

为 了 验证 混成 系统 的 性 质 ， 提 出 了 多 种 混成 模型 ， 如 混成 自动 机 (hybrid automata) 5 、 
混成 Petri 网 5  、 混 成 程序 "等 ， 其 中 混成 自动 机 得 到 了 最 为 广泛 的 认可 与 应 用 。 相 
较 于 复杂 度 高 的 非 线 性 混成 自动 机 ， 线 性 混成 自动 机 复杂 度 低 ， 可 应 用 于 大 规模 系统 形 
式 化 验证 的 优点 使 其 成 为 过 去 20 年 混成 模型 形式 化 方法 研究 领域 的 热点 ， 其 理论 及 方法 
已 颇 为 成 熟 ， 如 基于 线性 混成 自动 机 的 验证 工具 HyTechl al 、HyperTecht 1 、dvdtl5] 、 
SpaceEXC 等 。 最 近 几 年 ， 能 更 准确 刻画 混成 系统 行为 的 非 线性 混成 自动 机 的 研究 也 已 
经 引起 了 学 者 们 的 广泛 关注 ， 产 生 了 丰富 的 研究 理论 及 成 果 ， 如 泰勒 模型 方法 ”1 、 边 界 可 
达 性 分 析 方法 5 、 西 优化 方法 ” 、Hamilton-Jacobi 偏 微分 方程 方法 "等 。 

以 上 提 及 的 主要 是 针对 混成 系统 中 连续 劲 态 行 为 由 常 微分 方程 描述 的 混成 模型 。 而 
对 连续 动 态 行为 由 时 滞 微 分 方程 描述 的 时 滞 混 成 模型 的 形式 化 验证 ， 自 2004 年 文献 
[147」] 提出 基于 栅栏 函数 〈bamier certificate) 对 时 灌 模 型 进行 形式 化 验证 的 方法 后 ， 时 
滞 混 成 模型 的 形式 化 验证 研究 基本 处 于 停滞 状态 。 而 在 近 5 年 ， 时 光 混 成 模型 的 形式 化 
验证 取得 了 重大 的 突破 。 文 献 [148] 通过 将 时 滞 变 量 视 作 扰 劲 因素 ， 提 出 了 非 线性 时 潍 
动态 网 络 的 有 界 验 证 方法 。 文 献 [149」 提出 了 一 种 基于 区 间 泰 勤 模 型 近似 的 方法 ， 通 过 
计算 可 达 集 的 过 高 佑 计 来 验证 一 类 最 简单 的 时 清 微 分 方程 的 安全 性 和 稳定 性 。 文 献 
[150] 进一步 将 此 方法 推广 到 了 验证 时 滞 微 分 方程 的 行为 是 否 满足 用 时 序 逻 辑 描述 的 安 
全 性 质 中。 文献 [151] 提出 了 基于 欧 拉 方 法 计算 时 汪 微 分 方程 可 达 集 过 高 估计 的 数值 方 
法 ， 同 时 能 够 给 出 严格 的 误差 上 界 。 文 献 [152] 中 利用 敏感 性 分 析 给 出 了 一 类 其 解 具有 
同 有 私 性 质 的 时 浅 微 分 方程 ， 将 常 微分 方程 中 利用 边界 计算 可 达 集 的 方法 推广 到 了 此 类 时 
滞 微 分 系统 ， 提 出 了 计算 其 可 达 集 的 过 高 和 过 低 佑 计 的 方法 。 文 献 [153] 将 常 微分 方程 
可 达 集 计算 中 的 泰勒 模型 方法 推广 到 了 时 兆 模 型 中 ， 计 算 了 可 达 集 的 过 高 和 过 低估 计 。 
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2.2.3 无 穷 状 态 并 发 系统 模型 


无 穷 状态 并 发 系统 模型 可 以 统一 在 进程 重 写 系 统 (Process Rewrite System ，PRS ) 
中 5 。 在 进程 重 写 系 统 框 课 下 ， 并 发 系统 模型 的 分 类 如 图 1 所 示 ， 其 中 有 我 们 比较 熟悉 
的 有 限 系 统 (ES) 、 为 递归 程序 建 模 的 系统 下 推 系统 (PDA) 、 为 并 发 程序 建 模 的 系统 
Petri 网 (PN ) 、 以 及 为 并 发 交互 系统 建 模 的 进程 代数 (PA) 等 。 

在 进程 重 写 系统 的 等 价 性 研究 中 ， 首 先 研 究 的 PRS(G,G) 
是 强 互 拟 等 价 性 问题 ， 该 研究 起 源 于 20 世纪 80 年 
代 。Baeten 、Bergstra 和 Klop 在 1987 年 证 明了 BPA “”PAD(S.G) PAN(CP,G) 
强 互 模拟 是 可 判定 的 5 。 这 在 当时 是 一 个 相当 令 
人 惊奇 的 结果 ， 因 为 众所周知 的 是 ，BPA 的 语言 等 PPAG.9) 2 人 
价 问题 是 不 可 判定 的 。 接 着 ，Christensen 、Hirshfeld 、 
Moller 证 明了 BPP 上 的 强 互 模 拟 等 价 性 验证 是 可 判 
定 的 5 。Hirshfeld 和 Jerrum 进一步 将 这 两 个 结论 FS(GLD 
加 以 推广 ， 他 们 证 明了 一 个 包括 BPA 和 BPP 的 模 
型 一 --PA 上 的 强 互 模拟 也 是 可 判定 的 "5 。Stinling 
证 明了 PDA 上 强 互 模拟 等 价 性 验证 是 可 判定 的 "” 。jJangar 通过 归 约 Minsky 机 停机 问题 
证 明了 PN 上 强 互 模拟 验证 问题 是 不 可 判定 的 Ps 。 因 此 在 进程 重 写 系 统 中 ， 所 有 PN 之 
上 模型 的 强 互 模拟 等 价 性 验证 都 是 不 可 判定 的 。 

除了 可 判定 性 的 研究 外 ， 强 互 模拟 等 价 性 验证 问题 的 算法 和 复杂 性 也 是 这 一 类 研究 
关注 的 焦点 。Baleizar 、Gapbarro 和 Sintha 首先 证 明了 有 限 状 态 系统 判定 互 模拟 等 价 是 
P- 难 的 5"%1 ， 因 此 进程 重 写 系统 上 所 有 模型 的 强 互 模拟 等 价 性 验证 都 有 P- 难 这 个 下 界 。 
Hirshfeld 、Jerrum 和 Moller 在 normed BPA(nBPA) 和 normed BPP(nBPP) 上 ,证 明了 这 
两 个 模型 的 强 互 模拟 等 价 性 验证 有 多 项 式 时 间 算 法 玉 …“ 。 一 个 模型 是 normed， 指 的 是 
这 个 模型 中 的 所 有 进程 都 能 有 限 终 止 。 在 一 般 BPA 上 ， 最 近 ，Kiefer 证 明了 强 互 模拟 等 价 
性 验证 有 EXPTIME- 难 下 界 "”: 。 因 此 该 问题 目前 的 复杂 性 介 于 EXPTIME 和 2-EXPTIME 之 
间 。 对 于 一 般 BPP，jJangar 证 明了 该 问题 是 PSPACE- 完 备 的 "”“: 。 最 近 ，Benedikt 等 证 明 
了 PDA 上 强 互 模 拟 的 下 界 是 Non-Elementary[55] 。 

如 果 考 虑 带 内 部 动作 的 互 模拟 等 价 性 验证 研究 ， 我 们 会 考虑 弱 互 模拟 以 及 分 文 互 模 
拟 这 两 类 等 价 性 研究 。 针 对 弱 互 模拟 ， 目 前 公开 的 问题 非常 多 ， 我 们 知道 : 其 一 ， 在 
PRS 的 绝 大 部 分 模型 上 ， 如 在 BPA 或 BPP 以 上 的 模型 ， 弱 互 模拟 等 价 性 验证 是 不 可 判 定 
的 ; 其 二 ， 在 非常 基本 的 无 限 状 态 系统 一 一 BPA 和 BPP， 帮 至 nBPA 和 mnBPP 上 ， 弱 互 模 
拟 等 价 性 验证 的 判定 性 至 今 仍 然 是 公开 的 。 分 文 互 模拟 等 价 是 van GClabpeek 和 Weijland 
定义 的 一 种 比 弱 互 模拟 等 价 更 精细 的 观测 行为 等 价 ““] 。2011 年 ，Czerwifski 、Lasota 和 
Hofftman 证 明了 在 nBPP 上 分 支 互 模拟 是 可 判定 的 "”)  。Czerwifski 和 Jangar 证 明了 nBPA 
上 和 分支 互 模拟 验证 是 NEXPTIME 可 解 的 ! 。 

表 ]1 中 列 出 了 进程 重 写 系统 定义 的 5 个 模型 到 目前 为 止 的 已 知 判 定 结果 。 其 中 ， 
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图 1 并 发 系统 模型 的 分 类 
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“~”“”“s”“= ”分别 表 示 强 互 模拟 、 分 支 互 模拟 和 弱 互 模 氟 ，“VM ”表示 可 判定 ， 
“”x ”表示 不 可 狮 定 ,“?” 表 示 未 知 。 


表 1 进程 重 写 系 统 定义 的 5 个 模型 已 知 判定 结果 
BPA BPP PDA PN PA nBPA | nBPP | nPDA nPN nPA 
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2.3 形式 语义 与 形式 建 模 





对 计算 机 系统 进行 验证 的 基础 是 编程 语言 的 形式 语义 和 对 系统 行为 的 形式 建 模 。 

形式 语义 学 〈formal semantic) 是 研究 程序 设计 语言 的 语义 的 学 科 ， 以 数学 为 工具 ， 
利用 符号 和 公式 ， 精 确 地 定义 和 严格 地 解释 计算 机 程序 设计 语言 的 语义 ， 从 而 消除 语言 
设计 者 、 开 发 者 和 使 用 者 之 间 理 解 的 差异 性 。 形 式 语 义学 主要 分 成 四 大 流派 : 操作 语义 、 
代数 语义 、 指 称 语 义 和 公 理 语义 。 甚 主要 作用 是 帮助 理解 语言 ， 支 持 语 言 标准 化 ， 指 导 
语言 设计 ， 帮 助 编写 编译 器 和 语言 系统 ， 支 持 程 序 验证 和 软件 可 靠 性 ， 有 助 于 软件 规范 
化 。4 种 语义 的 主要 区 别 如 下 所 述 : 

1) 操作 语义 着 重 模拟 数据 处 理 过 程 中 程序 的 操作 。 

2) 代数 语义 基于 代数 ， 用 代数 结构 刻画 程序 语法 实体 ， 用 代数 公理 刻画 实体 含义 及 
语法 实体 间 的 关系 。 

3) 指称 语义 主要 刻画 数据 处 理 的 结果 ， 而 不 是 处 理 的 细 闻 。 

4) 公理 语义 用 公理 化 的 方式 描述 程序 对 数据 的 处 理 ， 主 要 用 于 程序 的 推理 和 验证 。 

操作 语义 、 代 数 语义 、 指 称 语 义 和 公 理 语义 之 间 的 关系 通 稼 采用 伽 罗 瓦 连接 理论 。 
不 同 的 语义 模型 之 间 的 伽 罗 瓦 连接 理论 可 以 抽象 为 从 一 个 语义 模型 元 素 到 另 一 个 语义 模 
型 元 素 的 函数 ， 可 用 于 证 明 程序 语言 不 同 语义 之 间 的 一 致 性 。 

形式 建 模 将 计算 机 软 硬 件 系统 的 行为 和 性 质 用 某 种 形式 模型 精确 地 刻画 。 形 式 建 模 
一 般 采 用 通用 形式 建 模 语言 (比如 Petri Net、Event-B、Pi- 演 算 、CSP、SysML 、Lusture 
等 ) 或 者 专用 形式 模型 (比如 有 限 自 动机 、 下 推 自 动机 、 概 率 自 动机 等 ) 来 进行 。 

早期 程序 语言 的 语义 只 是 在 论文 中 给 出 ， 这 样 的 语义 作用 非常 有 限 ， 既 不 能 用 计算 
机 测试 语义 的 正确 性 和 一 致 性 ， 也 不 能 用 于 程序 的 验证 和 分 析 ， 比 如 文献 [183-184] 。 

中 期 的 语义 一 般 采 用 定理 证 明 器 《如 Coq、ACL2、Isabele、HOL 等 ) 的 元 语言 实 
现 ， 此 类 语义 可 用 于 程序 语言 语义 和 程序 性 质 的 手动 或 半自动 化 验证 "1 。 另 一 种 技 
术 方 法 是 采用 函数 式 语 言 实现 程序 的 语义 ， 如 文献 [188]」 中 采用 Haskell 实现 C99 的 部 
分 语义 ， 这 样 的 语义 可 以 作为 解释 器 执行 C99 程序 。 

K 框架 是 最 近 流 行 的 一 种 定义 语言 的 形式 语义 的 途径 ， 其 基于 重 写 逻 辑 ， 通 过 定义 
语言 的 操作 语义 ， 自 动 生成 对 应 程序 的 形式 分 析 与 验证 工具 "”"  。2012 年 ，Elison 和 
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Rosu 定义 了 Co99 标准 中 的 大 部 分 语言 成 分 的 语义 和 标准 库 函 数 生 ” ， 是 迄今 为 止 最 完备 
的 C99 语言 的 语义 ， 该 语义 在 K 框架 中 进行 了 实现 ， 跟 文献 [188」 中 的 语义 类 似 ， 可 
作为 解释 器 执行 程序 ， 并 用 GCC 的 压力 测试 程序 进行 大 规模 的 测试 验证 ， 保 证 其 语义 正 
确 性 。 同 时 ， 利 用 K 框架 的 集成 工具 ， 可 以 根据 语义 快速 生成 C995 程序 的 各 种 验证 工具 ， 
如 运行 时 验证 、 模 型 检查 器 、 推 理 验证 器 等 。 文 献 [218] 对 C 程序 语义 的 定义 和 应 用 ， 
给 出 了 一 种 新 型 的 程序 语义 的 定义 方法 和 程序 语义 应 用 模式 。 基 于 K 框架 ，Javal. 4081 、 
JavaScripti792] PHPD8s] 、Python 3. 35184] RustL1s5] 等 工业 级 编程 语言 的 语义 也 陆续 被 实 
现 和 应 用 ， 这 些 语义 大 部 分 都 进行 了 一 致 性 测试 ， 并 生成 了 一 些 工 具 用 于 进行 实验 性 的 
程序 分 析 与 验证 。 

形式 建 模 方面 ， 本 数 式 程序 可 以 用 树 自动 机 "7 、 高 阶 下 推 自动 机 ”来 建 模 。 尽 管 
理论 上 Ong 等 人 已 经 证 明 高 阶 下 推 自动 机 的 模型 检测 问题 的 复杂 性 是 二 EXPTIME 完全 
的 ?1 ， 但 以 东京 大 学 Kobayashi 团队 为 代表 的 研究 小 组 相继 提出 一 些 高 效 的 算法 ， 大 大 
缩短 了 验证 的 时 间 忆 "1 。 另 外 ， 实 时 峙 和 信 式 系 统一 般 使 用 时 间 自 动机 来 建 模 ， 然 后 进行 
验证 ， 这 方面 的 主流 工具 为 UPPAAL 。 此 外 ， 一 种 基于 UML 的 实时 谍 入 式 系统 建 模 
语言 MARTE 近来 逐 闭 成 为 研究 的 热点 ， 并 成 为 国际 对 象 管理 组 织 认 定 的 标准 建 模 语 
言 22l 。MARTE 为 专门 的 系统 标准 〔( 如 OSEK、ARINC 和 POSIX) 提供 相应 的 建 模 括 件 ， 
以 支持 相应 系统 的 建 模 。 

自 适应 系统 与 多 智能 体 一 般 使 用 Petri 网 Bo 、UMLE SI 、ZE2 以 及 马尔 可 夫 模 型 茎 5 
等 来 建 模 。 最 近 ， 一 些 针 对 自 适 应 系统 的 新 的 形式 化 建 模 方法 被 相继 提出 ， 如 自 适 应 抽 
象 状态 机 模型 经 "2 和 时 间 Petri 网 荆 7 ， 前 者 通过 MAPE-K 控制 循环 描述 系统 分 布 式 和 
去 中 心 化 的 自 适应 行为 ， 后 者 通过 时 间 Petri 网 模型 来 描述 系统 的 实时 自 适 应 行为 。 

最 近 ， 深 度 神 经 网 络 的 形式 建 模 迅 速成 为 研究 热点 。 神 经 网 络 常 被 形式 化 表示 为 一 
组 在 整数 域 或 实数 域 上 的 线性 算术 方程 组 与 激活 函数 对 应 的 非 线性 方程 组 的 集合 所 ”1 。 
由 于 非 线 性 方程 的 存在 ， 无 法 利用 已 有 的 线性 优化 算法 或 者 SMT 求解 需 进 行 求解 。 目 前 
比较 普遍 的 方法 是 根据 具体 的 非 线性 方程 对 线性 优化 算法 或 SMT 求解 器 进行 扩展 ， 验 证 
神经 网 络 的 安全 性 ， 或 找到 对 抗 干扰 实 例 忆 ”221 。 










































































2.4 形式 规约 


除了 需要 对 计算 机 系统 进行 形式 建 模 之 外 ， 我 们 还 需要 对 系统 应 满足 的 性 质 进 行 准 
确 的 规约 。 一 般 使 用 逻辑 公式 对 系统 的 性 质 进 行规 约 。 经 典 的 规约 语言 包括 针对 串 行 程 
序 的 一 阶 逻 辑 及 其 扩展 分 离 逻辑 、 针 对 并 发 程序 的 时 序 逻 辑 等 。 

一 阶 逻 辑 在 命题 逻辑 (布尔 逻辑 ) 的 基础 上 加 入 关系 〈 函 数 ) 符号 和 一 阶 量词 。 
Floyd- Hoare 逻辑 将 一 阶 逻 辑 用 于 对 串 行 程序 的 行为 进行 规约 和 推理 名 1] 。Floyd- Hoare 逻 
辑 未 提供 对 内 存 布 局 的 描述 手段 ， 不 能 刻画 “指针 ”等 程序 结构 。 为 此 ， 分 离 罗 辑 
(separation logic) 在 2000 年 左右 被 提出 5; 。 该 逻辑 在 一 阶 逻 辑 的 基础 上 引入 了 分 离 算 
子 ， 即 分 离合 取 * 和 分 离 覃 含 * 。 分 离 算 子 可 以 非常 方便 地 表示 程序 不 同 组 成 部 分 所 操作 
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内 存 区 域 的 独立 性 ， 并 在 推理 规则 中 将 Ployd- Hoare 逻辑 的 不 变 式 〈invariance) 规则 替换 
为 框架 〈frame) 规则 ， 从 而 实现 对 程序 行为 的 局 部 推理 ， 而 分 离 逻 辑 中 的 归纳 谓词 则 可 
以 非常 直观 地 描述 链表 和 树 等 劲 态 数据 结构 。 分 离 逻辑 提出 后 ， 有 一 大 批 在 其 之 上 的 后 
续 工 作 ， 大 大 推动 了 程序 验证 的 发 展 。 

Floyd- Hoare 逻辑 和 分 离 逻 辑 比 较 适 合 对 串 行 程序 终止 时 的 输入 和 输出 应 该 满足 的 关 
系 进 行规 约 ， 而 并 发 程序 一 般 不 终止 ， 对 其 进行 规约 需要 不 同 的 规约 语言 。 时 序 逻 辑 是 
目前 使 用 的 主流 的 并 发 程序 的 规约 语言 。 按 照 对 时 间 的 不 同 解释 ， 时 序 逻 辑 大体 可 以 分 
为 线性 时 序 逻 辑 和 分 又 时 序 逻 和 辑 两 大 类 ， 前 者 如 LTL(Lineartime Temporal Logic) 等 ， 后 
者 如 CTL(CComputation Tree Logic) 、CTL ”等 。 

针对 串 行 程序 的 形式 规约 语言 近 5 年 的 进展 集中 在 分 离 轩 辑 方面 。 研 究 人 员 近 5 年 
对 于 带 归纳 谓词 的 分 离 逻 辑 的 各 种 片段 的 可 判定 性 、 复 杂 性 、 判 定 算 法 以 及 局 发 式 算 法 
进行 了 广泛 的 探讨 。 分 离 罗 和 辑 不仅 可 以 描述 形状 性 质 ， 比 如 链表 ， 也 可 以 描述 数据 约束 ， 
比如 有 序 性 。 

人 研究 人 员 首 先 对 不 含 数 据 约 束 的 带 归 纳 谓词 的 分 离 逻 辑 的 判定 算法 进行 了 探讨 。 
Cook 等 人 证 明了 含有 单 链 表 片 段 归 纳 谓词 的 分 离 逻 辑 子 集 的 可 满足 性 问题 和 蕴含 问题 是 
多 项 式 时 间 可 判定 的 名? 。Antonopoulos 等 人 证 明了 带 归纳 谓词 的 分 离 逻 辑 的 草 含 问题 一 
般 是 不 可 判定 的 名 1 。 另 一 方面 ，Iosif 等 人 将 分 离 逻辑 嵌入 树 深度 受 限 的 网 上 的 一 元 二 阶 
逻辑 中 , 证 明了 带 其 一 类 归纳 谓词 的 分 离 罗 辑 的 萤 含 问题 是 可 判定 的 E1。 而 且 ， 
Brotherston 等 人 对 于 带 比较 一 般 的 归纳 谓词 的 分 离 逻辑 的 可 满足 性 问题 进行 了 深入 的 研 
究 ， 他 们 证 明了 该 巡 辑 的 可 满足 性 问题 是 EXPTIME- 完 全 的 茎 "] 。Iosif 等 人 将 带 归纳 谓词 
的 分 离 罗 辑 的 蕴含 问题 归 约 成 树 自 动机 的 话 言 包含 问题 ， 开 发 了 分 离 逻 辑 含 问题 求解 
器 SLIDEI2s7] 。 

研究 人 员 在 含有 可 以 描述 数据 约束 的 归纳 谓词 的 分 离 逻 辑 方面 也 进行 了 广泛 的 探讨 。 
Chin 等 人 和 Qiu 等 人 考虑 了 带 归纳 谓词 和 一 般 数 据 约 东 (比如 算术 约束 、 集 合约 束 、 多 
重 集约 束 等 ) 的 分 离 逻 辑 ， 提 出 了 求解 列 含 问题 的 启发 式 算法 "2 。 他 们 还 对 带 线性 
算术 数据 约束 的 归纳 谓词 的 分 离 逻 辑 的 可 满足 性 问题 进行 了 研究 ， 提 出 了 启发 式 算法 ， 
并 对 这 些 算法 在 哪些 子 类 上 是 完备 的 进行 了 探讨 ”1 。Piskac 等 人 将 分 离 逻辑 公式 骨 
入 经 典 一 阶 逻 辑 的 含有 集合 变量 和 可 达 谓 词 的 某 种 扩展 ， 使 得 可 以 对 序 关 系 和 集合 数据 
约束 进行 描述 推理 2? 2 。Enea 等 人 提出 了 可 组 合 归纳 谓词 的 概念 ， 简 化 了 对 含有 归纳 
谓词 和 复杂 数据 约束 的 分 离 逻辑 公式 的 求解 茎 1] ， 但 他 们 提出 的 算法 是 不 完备 的 。 

针对 并 发 程序 的 规约 逻辑 LITL 由 Pnueli 提出 Be] ， 其 在 命题 逻辑 的 基础 上 引入 了 
Next(X) 和 Until(U) 两 个 时 序 算 子 。LTL 由 于 具有 人 简洁、 直观 的 特点 ， 同 时 有 具有 相对 
较 强 的 表达 能 力 ， 因 而 在 验证 领域 被 广泛 使 用 。LTL 能 够 表达 全 部 star-free 的 w - 正规 性 
质 ， 其 模型 检测 问题 及 可 满足 性 判定 问题 都 是 PSPACE- 完全 的 [sl 。CTL 由 Clarke、 
Emerson 等 人 提出 区 。 同 LTL 相 比 ，CTL 中 引入 了 全 称 路 径 量词 A 和 存在 路 径 量词 
E( 二 者 互 为 对 偶 关系 ) 。CTL 的 模型 检测 问题 可 在 多 项 式 时 间 内 完成 1 ;CTL 的 可 满足 
性 问题 是 EXPTIM- 完全 的 [加 。CTL 是 LTL 与 CTL 的 共同 超 集 。CTL 公式 的 模型 检测 
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问题 也 是 PSPACE- 完 全 的 5 鳄 ' 和 ， 其 可 满足 性 问题 是 2EXPTIME -完全 的 2 1 。 

时 序 逻 辑 方面 近 5 年 的 进展 集中 在 经 典 时 序 逻 辑 LIL、CTL 和 CTL 的 各 种 扩展 上 ， 
包括 博弈 扩展 、 概 率 扩 展 、 实 时 扩展 、 量 子 扩展 等 。 

首先 ， 研 究 人 员 提 出 了 用 于 描述 多 主体 系统 性 质 的 时 序 逻 辑 的 博弈 扩展 ， 比 如 ATL、 
ATL ” [258 、Strategy Logicl25 等 。ATL 的 模型 检测 问题 是 PTIME- 完 全 的 521 ， 其 可 满足 性 
问题 是 EXPTIME- 完 全 的 5 。ATL "是 ATL 的 扩展 ，ATL 的 模型 检测 问题 以 及 可 满足 性 
问题 的 复杂 度 均 是 2EXPTIME- 完 全 的 [2 。Strategy Logic 具有 非常 强 的 表达 能 力 ， 即 
使 是 其 一 次 交错 片段 〈 和 否定 范式 公式 中 量词 V 和 了 最 多 只 能 明 套 交错 一 次 的 公式 构成 的 
片段 ) ， 也 能 够 编码 全 部 的 ATL 公式。 该 逻辑 可 以 描述 纳什 均衡 、 安 全 均衡 等 重要 的 性 
质 。Strategy Logic 的 模型 检测 问题 和 可 满足 性 问题 是 非 初等 可 判定 的 :各 ] 。 但 是 ， 对 于 其 
一 些 简单 的 片段 ， 如 一 次 交错 片段 ， 其 模型 检测 问题 是 2EXPTIME- 完 全 的 [1 。 

时 序 逻 辑 的 概率 扩展 主要 包括 PCTL、PCTL 等， 它们 的 语义 定义 在 离散 马尔 可 夫 链 
或 者 离散 马尔 可 夫 决 策 过 程 (MDP) 上 。 对 于 离散 马尔 可 夫 链 模型 ，PCTL 的 模型 检测 问 
题 可 在 多 项 式 时 间 内 完成 "3 ， 而 LTL 和 PCTL” 的 模型 检测 问题 仍 是 PSPACE- 完全 
的 5572] 。 对 于 离散 马尔 可 夫 决 策 过 程 ，PCTL 的 模型 检测 问题 也 可 以 在 多 项 式 时 间 内 完 
成 ， 但 LTL 的 模型 检测 问题 却 是 2EXPTIME- 完 全 的 〈 即 使 是 定性 验证 ) 5 。PCTL 的 可 
满足 性 问题 比较 复杂 ， 目 前 还 没有 完全 得 到 解决 。 

时 序 逻 辑 的 实时 扩展 ， 典 型 包括 MTL 和 TCTL: 前 者 定义 在 线性 结构 上 ， 后 者 定义 
在 分 文 结构 上 。MTL 可 以 看 作 是 LTL 的 扩展 ， 它 取消 了 X 算 子 ， 并 在 算 子 上 附加 一 个 
区 间 下 标 王 - 一 其 Unit 公式 形 如 护 态 户 ， 它 显 式 地 指明 了 上 户 成 立 的 时 刻 应 当 位 于 区 间 7 
内 Bo 。TCTL 在 CTL 的 基础 上 引入 了 时 钟 变量 ， 并 取消 了 X 时 序 算 子 f"] 。 这 两 类 逻辑 
的 语义 均 定 义 在 实时 系统 上 〈 如 时 间 自 动机 ) 。MTL 的 可 满足 性 问题 和 针对 时 间 自 动机 
的 模型 检测 问题 在 连续 时 间 上 是 不 可 判定 的 乓 1 ， 在 离散 时 间 上 是 EXPSPACE- 完 
全 的 5 。 

时 序 逻 辑 的 量子 扩展 主要 包括 QCTL、QCTL 等 ， 其 语义 主要 定义 在 量子 马尔 可 夫 链 
上 。QcTL 在 量子 马尔 可 夫 链 上 的 验证 可 在 多 项 式 时 间 内 完成 2 ;同样 ， 该 逻辑 的 可 满 
足 性 的 判定 问题 目前 仍然 没有 解决 。 关 于 量子 马尔 可 夫 链 上 的 LIL 模型 检测 问题 ， 国 内 
外 学 者 仍 在 进行 研究 。 

另外 ， 研 究 人 员 针对 计算 机 安全 的 背景 ， 提 出 了 时 序 逻 辑 的 “ 超 性 质 ”的 扩展 !es]1 ， 
主要 包括 HyperLTL、HyperCTL 等 。HyperLTL 的 模型 检测 算法 在 最 坏 情况 下 是 非 初等 可 
判定 的 ， 同 时 这 两 种 逻辑 的 可 满足 性 问题 也 是 非 初等 可 判定 的 ， 但 对 于 其 某 些 特定 片段 
却 存在 较为 高 效 的 算法 [sl 。Finkbeiner 等 人 给 出 了 关于 HyperLTL 和 HyperCTL 的 模型 检 
测 的 实现 !24 。 






















































































2.5 形式 验证 技术 与 方法 


形式 验证 包括 4 种 技术 与 方法 ， 即 演绎 推理 、 抽 象 解释 、 模 型 检测 和 符号 执行 。 
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演绎 推理 的 基本 思想 是 ， 将 程序 满足 其 形式 规约 的 证 明 问 题 转化 为 一 组 数学 命题 的 
证 明 。 这 组 数学 命题 被 称 为 证 明 义 务 (proof obligation) 。 若 这 组 证 明 义 务 的 证 明确 实 能 
人 鸟 列 含 “程序 满足 其 规约 ”这 一 命题 ， 那 么 我 们 就 说 该 证 明 系 统 是 正确 〈sound) 的 。 
Folyd- Hoare 逻辑 是 一 种 经 典 的 基于 演绎 推理 的 验证 系统 。 

抽象 解释 理论 是 一 种 对 程序 语义 进行 可 靠 抽象 〈 或 近似 ) 的 通用 理论 所 。 该 理论 为 
程序 分 析 的 设计 和 构建 提供 了 一 个 通用 的 框架 ， 并 从 理论 上 保证 了 所 构建 的 程序 分 析 的 
终止 性 和 可 靠 性 〈 即 考虑 了 所 有 的 程序 行为 ) 。 抽 象 解释 本 质 上 是 通过 对 程序 语义 进行 不 同 
程度 的 抽象 以 在 分 析 精 度 和 计算 效率 之 间 取 得 权衡 。 这 种 由 《面向 茶 类 性 质 的 ) 语义 抽象 
及 其 上 的 操作 所 构成 的 数学 结构 称 为 抽象 域 。 到 目前 ， 已 出 现 了 数 十 种 面向 不 同性 质 的 抽 
象 域 。 其 中 ， 代 表 性 的 抽象 域 有 区 间 抽 象 域 、 八 边 形 抽象 域 、 多 面体 抽象 域 等 。 

模型 检测 的 基本 思想 是 通过 遍历 系统 的 状态 空间 以 验证 系统 模型 是 否 满足 给 定 的 关 
键 性 质 ， 并 在 不 满足 性 质 时 给 出 具体 反例 路 径 。 因 此 ， 如 何 对 模型 状态 空间 进行 快速 所 
历 对 于 模型 检测 至 关 重 要 ， 而 状态 空间 爆炸 问题 则 自然 成 为 模型 检测 技术 面临 的 主要 问 
题 。 与 模型 检测 技术 取得 成 功 的 硬件 领域 相对 比 ， 软 件 系统 的 状态 空间 复杂 性 大 幅 提 高 
由 于 模型 检测 获 盖 范围 较 广 ， 鉴 于 篇 幅 所 限 ， 本 报告 中 我 们 将 以 软件 模型 检测 为 代表 ， 
来 对 软件 模型 检测 近期 技术 的 进展 做 一 个 总 结 。 

符号 执行 ”9 提供 了 一 种 系统 性 遍历 程序 路 径 空间 的 手段 ， 符 号 执行 中 的 程序 路 
径 精 确 刻 画 了 这 条 路 径 上 的 程序 信息 ， 可 基于 路 径 信息 开展 多 种 软件 验证 确认 阶段 的 活 
动 ， 包括 自动 测试 、 缺 陷 〈 包 括 功能 缺陷 ) 查找 以 及 部 分 程序 验证 等 。 理 论 上 ， 相 比 于 
需要 问 定 程序 输入 的 分 析 方法 ， 符 号 执行 通过 符号 分 析 ， 能 履 盖 更 多 的 程序 行为 。 另 一 
方面 ， 符 号 执行 技术 依赖 于 SATZASMT 技术 ， 求 解 器 的 能 力 是 决定 符号 执行 效果 的 关键 因 
素 ; 同时 ， 符 吕 执 行 中 程序 路 径 空 间 大 小 随 着 程序 规模 的 增 大 而 旦 指数 级 增长 ， 例 如 ， 
单 就 串 行程 序 来 讲 ， 一 个 具有 壮 个 条 件 语句 的 程序 段 ， 就 有 可 能 包含 2” 条 路 径 ， 这 也 是 
制约 符号 执行 能 力 的 关键 因素 。 
















































































2.5.1 演绎 推理 


近年 来 基于 演绎 推理 的 程序 验证 技术 方面 有 大 量 突 破 性 进展 ， 在 此 很 难 一 一 介绍 ， 
我 们 仅仅 介绍 其 中 一 些 最 具 代 表 性 的 工作 。 

分 离 逻 辑 是 近年 来 程序 验证 领域 的 重大 突破 之 一 ， 它 由 Reynolds 、0' Hearn 、Ishtiaq 
和 Yang 等 人 在 2000 年 前 后 提出 [274-275,196,233] ， 并 发 分 离 逻 辑 是 Brookest27al 和 0: Hearnt279] 
对 分 离 逻 辑 的 扩展 ， 文 持 对 共享 内 存 的 并 发 程序 的 验证 。 它 的 基本 思想 是 要 求 并 发 任务 
对 共享 资源 〈 包 括 内 存 ) 的 访问 在 互 斥 的 临界 区 中 进行 。 而 在 临界 区 之 外 ， 并 发 任务 只 
能 访问 自己 的 私有 资源 。 要 实现 这 一 点 ， 必 须 有 效 保 证 共享 资源 和 私有 资源 的 分 离 ， 以 
及 不 同 任务 各 自 的 私有 资源 的 分 离 。 而 分 离 逻辑 中 的 分 离合 取 恰 恰 能 够 用 来 方便 地 描述 
这 一 点 。 并 发 分 离 逻 辑 主要 针对 良好 同步 〈Pproperly synchronized) 的 程序 的 验证 ， 之 后 
有 大 量 工作 对 并 发 分 离 逻辑 进行 扩充 ， 以 支持 细 粒 度 并 发 或 者 无 锁 并 发 程序 的 验证 。 在 
Brookes 和 0 Hearm 的 综述 文章 中 [2 ， 对 基于 并 发 分 离 逻辑 开展 的 工作 有 完整 的 介绍 ， 
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在 此 不 再 歼 述 。 

并 发 分 离 逻 辑 及 其 扩展 大 多 针对 串 行 一 致 性 内 存 模型 上 的 并 发 程序 开展 验证 。 然 而 ， 
由 于 处 理 融 体系 结构 中 以 及 编译 器 中 引入 的 种 种 优化 ， 导 致 并 发 程序 的 行为 并 不 满足 串 
行 一 致 性 。 这 些 行 为 统称 为 弱 内 存 模型 。 近 年 来 ，Viktor 等 人 对 并 发 分 离 轩 辑 进行 扩展 ， 
提出 一 系列 在 C11 内 存 模型 上 的 程序 逻辑 这 ' 尖 1 ， 证 明 CH11 内 存 模型 ( 子 集 ) 上 程序 的 
正确 性 。 

关系 型 程序 逻辑 可 以 验证 两 个 程序 之 间 的 关系 ， 或 者 一 个 程序 在 两 种 输入 下 的 行为 
之 间 的 关系 。 前 者 可 用 于 程序 精 化 的 验证 ， 而 后 者 则 可 用 于 安全 性 质 ， 特 别 是 信息 流 控 
制 (information flow control) 机 制 的 验证 。 Bentont288] 和 Yangt289] 较 早 提出 关系 型 程序 逻 
辑 。Beringer 和 Hofmann 提出 将 关系 型 程序 旭 辑 应 用 于 信息 流 控制 ; 。Barthe 等 在 关系 
型 程序 逻辑 方面 开展 了 大 量 研究 ， 主 要 将 其 应 用 于 安全 性 质 验证 党 ] 。Turon 等 刀 1 和 
Liang 等 加] 提出 了 关系 型 程序 逻辑 来 开展 并 发 程序 的 精 化 验证 。 作 为 对 关系 型 程序 逻辑 
的 扩展 ，Sousa 和 Dilig 提出 笛 卡 儿 霍 尔 罗 辑 ， 用 于 验证 刀 -safety ， 即 程序 下 次 不 同 执行 之 
间 的 关系 1 。 

近年 来 ， 有 大 量 的 基于 演绎 推理 验证 技术 对 实际 系统 在 代码 级 的 验证 。 其 中 比较 有 
代表 性 的 包括 操作 系统 内 核验 证 和 编译 器 验证 。 操 作 系统 内 核验 证 相关 的 工作 包括 澳 大 
利 亚 NICTA 对 seL4 的 验证 "5 、 耶 鲁 大 学 团队 对 CertiKOS 的 验证 芭  、 中 科大 团队 对 
&CZOS-I 的 验证 等 %] 。 编 译 器 验证 工作 中 最 著名 的 是 INRIA 对 CompCert 的 验证 避 
以 及 后 续 工 作 F 2 。 此 外 ， 还 包括 对 分 布 式 系统 的 验证 FI 、 安 全 系统 的 验 
证 [0 、 文 件 系统 的 验证 [5 ”1 等 。 


2. .5.2 抽象 解释 


近年 来 ， 抽 象 解释 的 主要 研究 进展 包括 提高 分 析 精 度 、 可 扩展 性 、 可 行 性 3 方面 。 

在 提高 分 析 精 度 方面 ， 抽 象 域 本 身 表 达能 力 的 局 限 性 是 当前 面临 的 主要 问题 。 为 了 
弥补 抽象 域 表 达能 力 的 局 限 性 ， 最 近 的 研究 进展 可 分 为 两 类 : (1) 通过 结合 符号 化 方法 
来 提高 分 析 精 度 ， 利 用 SMT 求解 器 5 "2 、 捅 值 ”等 技术 来 计算 程序 语句 迁移 函数 的 
最 佳 抽象 ， 以 改进 抽象 域 在 语句 迁移 函数 上 的 精度 损失 ; 〈2) 提高 抽象 域 的 非 线 性 表达 
能 力 ， 如 基于 组 合 递 推 分 析 ”9 将 符号 化 分 析 与 抽象 解释 结合 起 来 了 以 生成 多 项 式 、 
者 数 、 对 数 等 形式 非 线性 不 变 式 ， 基 于 椭圆 宕 集 来 生成 二 次 不 变 式 [ 等 。 另 外 ， 在 面 
向 特定 应 用 改进 精度 方面 ， 最 近 有 研究 :2 针对 实际 计算 机 程序 ， 尤 其 是 谋 入 式 系统 中 
数值 都 是 有 限 二 进 制 位 数 表示 的 问题 ， 提 出 了 改进 策略 来 提高 基于 抽象 域 的 分 析 的 精度 。 

在 提高 可 扩展 性 方面 ， 如 何 有 效 降 低 存 储 开 销 和 提高 计算 效率 是 目前 考虑 的 主要 问 
题 。 在 这 方面 ， 近 年 来 的 研究 进展 包括 : 

1) 利用 变量 访问 的 局 部 性 原理 ， 降 低 当前 抽象 环境 中 所 涉及 的 变量 维 数 ， 并 根据 数 
据 流 依赖 的 稀 丽 性 ， 降 低 抽象 状态 的 存储 开销 和 传播 开销 。 基 于 该 思想 ，Oh 等 人 [se 
提出 了 一 种 通用 的 全 局 稀 玻 分 析 框 架 ， 在 不 损失 分 析 精 度 的 前 提 下 能 够 显著 降低 时 空 开 
销 ， 并 在 商业 化 静态 分 析 工 具 Sparrow 上 进行 了 应 用 ， 取 得 了 显著 的 可 扩展 性 提升 效果 。 
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2) 利用 和 矩阵 分 解 等 在 线 分 解 优 化 策略 来 对 抽象 域 操作 的 实现 算法 进行 优化 。 基 于 该 
思想 ， 最 近 Singh 等 人 对 实际 静态 分 析 工 具 中 常用 的 八 边 形 抽象 域 的 实现 进行 了 优化 ， 优 
化 后 八 边 形 分 析 的 性 能 提升 达 140 多 倍 5 1 ;对 多 面体 抽象 域 的 实现 进行 了 优化 ， 优 化 后 
多 面体 分 析 的 性 能 提升 了 2 ~ 5 个 数量 级 ， 并 且 很 多 原 有 实现 分 析 不 出 来 的 规模 较 大 的 实 
例 采用 优化 后 的 方法 能 够 分 析出 来 ;在 此 基础 上 ，Singh 等 人 还 提出 了 一 种 通用 的 基 
于 分 解 的 优化 策略 !'] ， 能 够 在 不 改变 基 抽 象 域 的 基础 上 自动 实现 分 解 的 优化 ， 从 而 不 
需要 人 工 重 新 实现 基 抽 象 域 ， 并 基于 这 一 思想 实现 了 开源 抽象 域 库 ELINA。 这 种 基于 在 
线 分 解 的 方法 在 提高 抽象 域 的 分 析 效 率 时 不 会 造成 精度 损失 。 最 近 ，Singh 等 人 [se] 还 提 
出 了 一 种 基于 强化 学 习 来 加 速 静态 程序 分 析 的 方法 ， 在 每 次 欠 代 中 ， 利 用 强化 学 习 来 决 
策 选 哪个 转换 子 ， 以 在 精度 和 不 动 点 迭代 收敛 速度 之 间 进 行 权 衡 。 在 抽象 域 编码 实现 上 ， 
Becchi 等 人 [5 最 近 改 进 了 未 必 封 闭 多 面体 域 (支持 严格 不 等 式 约束 ) 的 双重 撒 述 法 ， 
在 表示 中 避免 了 松弛 变量 的 引入 ， 极 大 地 提高 了 分 析 效 率 ， 并 在 原 有 广泛 使 用 的 多 面体 
抽象 域 实现 库 PPL 的 基础 上 开发 了 新 的 开源 实现 PPLite。 为 了 提高 形态 分 析 的 分 析 效 率 ， 
Ei 等 人 9 提出 一 种 方法 对 程序 的 抽象 状态 做 二 次 抽象 以 合并 相似 的 抽象 状态 ， 从 而 降 
低 形 态 分 析 中 析 取 抽象 状态 数 ， 提 高 了 分 析 效率 。 

在 提高 可 行 性 方面 ， 复 杂 数据 结构 自动 分 析 的 支持 、 不 同 谱系 目标 程序 的 支持 、 活 
性 性 质 分 析 的 支持 是 目前 主要 的 关注 点 。 在 复杂 数据 结构 的 自动 分 析 方面 ， 最 近 的 研究 
重点 关注 针对 数组 内 容 的 精确 分 析 !l 、 混 杂 数 据 结构 的 建 模 %“ 、 数 值 与 形态 混合 的 程 
序 分 析 !e9 sl 、 关 系 型 形态 分 析 ! "1] 。 在 支持 不 同 谱系 目标 程序 方面 ， 最 近 的 研究 重点 关 
注 多 线程 程序 的 自动 分 析 5] 、 中 断 驱动 型 程序 的 自动 分 析 !8s ssel 、 概 率 程 序 的 分 
析 5” 1 、 操 作 系统 代码 的 安全 和 功能 性 分 析 " ”1 、jJavaSeript 等 动态 语言 的 分 析 " 。 在 
目标 性 质 支 持 方面 ， 近 年 来 在 抽象 解释 领域 出 现 了 一 些 新 的 用 来 分 析 时 序 性 质 和 终止 性 
的 方法 [351-352] 


2. 5. 3 ”模型 检测 


将 状态 空间 符号 化 表达 ， 并 在 符号 化 后 的 空间 上 进行 计算 和 遍历 是 软件 模型 检测 的 
基本 方法 。 然 而 ， 即 使 是 符号 化 后 的 状态 空间 ， 其 验证 也 并 不 是 一 个 简单 的 问题 。 因 此 ， 
如 何 对 复杂 状态 空间 进行 抽象 简化 一 直 是 相关 研究 的 一 个 重要 方向 。 

反例 制导 的 抽象 精 化 方法 〈Counter- FExample Guided Abstraction Refinement ， CEGAR ) rs851 
是 当前 复杂 系统 模型 检测 的 主要 手段 之 一 。 其 基本 思路 为 当 抽象 后 模型 违反 给 定性 质 时 ， 
将 相关 反例 在 原 系 统 上 进行 确认 ， 如 确认 成 立 则 发 现 反 例 ， 和 否则 分 析出 抽象 过 程 中 导致 
此 虚假 反例 出 现 的 因素 ， 从 而 对 上 次 抽象 进行 精 化 。 在 CECAR 框架 当中 如 何 对 相关 
“反例 ”进行 确认 ， 并 进一步 对 抽象 过 程 进 行 精 化 是 其 中 一 项 重要 问题 。 近 年 来 ， 此 方 
向 上 最 主要 的 一 个 研究 方法 是 基于 插值 〈interpolant) 来 对 抽象 谓词 进行 精 化 的 研究 ， 
Wolverine'” 、UFO”  ， 以 及 文献 [383] 等 均 是 近年 来 相关 方向 的 典型 工作 。 以 上 基 
于 谓词 抽象 的 软件 系统 模型 检测 方法 在 相关 领域 中 发 挥 了 重要 作用 ， 比 如 提高 了 适用 系 
统 规模 ， 可 生成 实际 反例 ， 不 会 产生 误 报 等 。 然 而 ， 由 于 软件 系统 的 高 复杂 性 ， 相 关 方 
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法 目前 可 解决 问题 的 规模 仍然 受到 一 定 限制 。 

相对 应 地 ， 在 模型 状态 空间 过 于 复杂 的 情况 下 ， 有 界 模型 检测 (Bounded Modal 
Checking，BMC) IC 思想 被 提出 。BMC 思想 也 被 应 用 在 了 软件 模型 检测 方向 上 。 自 
CBMCE I 、F-Softt 等 以 来 ， 近 10 年 有 大 量 工具 出 现 并 得 到 有 效应 用 。 目 前 相关 方向 
的 工作 主要 集中 于 如 何 对 代码 中 各 种 数据 结构 ， 如 数组 、 位 向 量 、 堆 等 进一步 提供 编码 
机 制 ， 如 何 对 给 定 深度 内 行为 空间 进行 有 效 编 但 及 剪 枝 等 来 提升 可 验证 系统 规模 ， 并 提 
高 验证 效率 等 1 。 

上 文大 量 BMC 工作 通过 对 状态 间 迁 移 关 系 进行 一 定 深 度 展 开 后 再 进行 SATZSMT 编 
码 及 求解 的 方式 进行 。Bradley 在 2011 年 提出 了 IC3 方法 史 ” ， 采 用 逐步 展开 并 推导 证 明 
的 方式 进行 求解 ， 以 其 优异 性 能 及 可 扩展 性 在 硬件 验证 领域 迅速 引起 了 广泛 关注 ， 相 关 
技术 也 被 应 用 到 软件 验证 中 心 :  。 除 了 SMT、IC3 之 外 ， 将 验证 问题 以 Horm 子 句 形式 进 
行 编码 并 求解 也 是 近年 来 相关 方向 研究 热点 之 一 。 随 着 相关 约束 求解 技术 的 提升 ， 
SeaHornts8e] 、 VeriMapts791 、 TRACERIs 等 基于 Horn 子 句 的 软件 验证 工具 快速 涌现 。 

在 上 述 几 大 方向 的 基础 上 ， 通 过 多 技术 深度 融合 来 进行 代码 验证 是 近年 来 的 重要 趋 
势 之 一 。 如 将 抽象 解释 〈Abstract Interpretation) 与 模型 检测 相 结合 ， 将 插值 技术 与 SMT 
结合 等 。 其 中 最 具有 代表 性 的 工作 即 为 近年 来 引起 广泛 影响 的 CPAchecker 工具 ， 其 
在 上 述 工作 基础 上 提出 了 可 配置 验证 框 架 ， 通 过 统一 接口 集成 多 种 求解 毅 和 技术 来 对 软 
件 系统 进行 验证 ， 以 期 能 够 得 到 更 好 的 性 能 和 可 扩展 性 。 

在 模型 检测 方面 ， 随 着 研究 工作 的 逐步 深入 ， 可 处 理 问 题 种 类 逐步 增加 ， 处 理 效率 
也 得 以 稳步 提升 ， 相 关 领 域 引起 了 越 来 越 广泛 的 关注 。 上 自 2012 年 起 召开 的 一 年 一 度 的 
Software Verification Competition 更 是 会 对 现 有 各 类 验证 工具 的 实用 性 和 处 理 问 题 能 力 进 行 
激烈 竞赛 和 详细 分 类 评 佑 。 我 们 推荐 对 此 领域 感 兴趣 的 读者 对 该 竞赛 进行 关注 ， 从 而 对 
软件 模型 检测 的 当前 处 理 能 力 及 热点 研究 现状 有 一 个 快速 的 了 解 。 











































































































2. .5.4 符号 执行 





目前 ， 符 号 执行 技术 仍 面 临 提 高 可 扩展 性 〈scalability ) 与 可 行 性 〈feasibility) 这 两 
方面 的 挑战 。 在 可 扩展 性 方面 ， 路 径 空间 爆炸 和 复杂 路 径 约 束 是 导致 此 挑战 的 主要 原因 ， 
因此 相关 工作 主要 集中 在 缓解 路 径 空间 爆炸 和 约束 求解 优化 两 个 方面 ; 在 可 行 性 方面 ， 
相关 工作 则 主要 集中 在 环境 建 模 和 多 形态 分 析 目 标 两 个 方面 。 下 面 分 别 对 这 两 方面 国际 
上 的 最 近 的 人 研究 进展 进行 介绍 。 

在 缓解 路 径 空间 爆炸 方面 ， 目 前 已 有 工作 基本 分 为 两 个 思路 : 首先 是 在 具体 目标 下 
提供 高 效 的 搜索 策略 ， 使 符号 执行 分 析 更 快 地 达到 目标 ， 包 括 提 高 程序 的 覆盖 率 ““ : 、 
判断 某 个 程序 点 是 否 可 达 "““] 、 产 生 满足 正规 性 质 的 程序 路 径 "…; 、 探 索 程序 不 同 版 本 的 
差异 部 分 “5 等 ;然后 是 通过 约束 输入 范围 、 削 减 或 合并 路 径 来 减 小 程序 的 路 径 空 间 ， 
包括 基于 输入 模板 “"“'  、 程 序 切片 “2 、 程 序 抽象 (包括 摘要 技术 ) “5 、 偏 序 
约 简 “  、 条 件 合并 拉 以 及 等 价 路 径 约 简 “ 等 方法 。 此 外 ， 还 有 一 些 并 
行 符号 执行 “ “的 工作 ， 其 基本 思想 是 在 多 台 机 器 上 并 行 探索 程序 路 径 空 间 ， 目 标 也 
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是 缓解 路 径 空 间 曝 炸 ， 不 同 工 作 的 差别 在 于 探索 任务 的 分 配方 式 及 并 行 算法 。 

在 约束 求解 方面 ， 已 有 工作 也 可 分 为 两 方面 : 在 调用 求解 器 前 对 路 径 条 件 的 查询 进 
行 优 化 ， 以 减少 求解 器 的 调用 次 数 或 降低 求解 时 间 ; 支持 复杂 程序 特征 的 高 效 编码 。 第 
一 个 方面 包括 查询 缓存 和 重用 "4 “5 、 基 于 约束 独立 性 的 优化 [sl 、 增 量 式 求 
解 C0 2 等 ;第 二 个 方面 包括 对 机 器 数 s 2 、 数 组 [8 、 浮 点 [sl 、 字 符 串 乓 1 、 
动态 数据 结构 ”六 等 的 支持 。 

在 环境 建 模 方面 ， 已 有 工作 基本 都 是 在 分 析 的 精确 性 、 可 靠 性 、 建 模 工 作 量 以 及 可 
扩展 性 之 间 进 行 权 衡 和 折 中 ， 包 括 手工 建 模 F] 、 自 动 综合 纹 5] 、 动 态 执行 S"1 、 全 栈 
执行 “1 等。 

在 多 形态 分 析 目 标 方 面 ， 主 要 是 应 对 多 语言 和 多 应 用 领域 的 复杂 性 ， 包 括 C ++ 程 
序 ”“ 9] 、 高 级 语言 中 多 态 的 处 理 近 '] 、 二 进 制程 序 忆 "5 人] 、 脚 本 语言 程序 史 ” 、 分 布 
式 程序 "1 、 数 据 库 操作 程序 '“"1 、 无 线 传感器 网 络 程序 5 1] 、 并 发 或 并 行程 序 2 、 
对 人 式 程序 !] 、PLC 程序 [9 等 的 符号 执行 方法 。 

同时 ， 面 向 新 的 分 析 需 求 ， 也 有 一 些 新 的 符号 执行 技术 出 现 ， 其 中 比较 有 代表 性 的 
是 概率 符号 执行 技术 人 1] ， 其 基本 思想 是 通过 符号 执行 来 得 到 程序 的 路 径 ， 然 后 使 用 
SMT 解 空间 体积 计算 技术 来 计算 每 条 路 径 的 路 径 条 件 的 解 的 个 数 ， 通 过 每 条 路 径 对 应 的 
解 的 个 数 ， 可 以 计算 每 条 路 径 的 概率 。 基 于 此 ， 可 以 开展 包括 低 概率 缺陷 查找 、 低 概率 
路 径 的 测试 用 例 生 成 、 生 成 程序 的 性 能 分 布 ! 衬 ] 、 刻 画 代码 变迁 "1 等 活动 。 此 外 ， 符 号 
执行 技术 与 其 他 技术 之 间 紧 密 融 合 ， 以 提高 分 析 的 效果 ， 也 是 目前 新 的 发 展 趋势 ， 包 括 
与 模型 检测 5%71 、 抽 象 解释 "5] 、 模 糊 测 试 "%s] 、 随 机 测试 (9 等 技术 结合 ， 以 提高 程序 
的 覆盖 率 或 缺陷 发 现 效率 。 
































2.6 形式 验证 工具 以 及 应 用 











形式 化 方法 早期 主要 在 硬件 验证 和 协议 验证 中 取得 应 用 。 近 年 来 ， 随 着 形式 化 技术 
的 快速 发 展 ， 形 式 化 方法 在 越 来 越 多 的 软件 系统 验证 和 肯 入 式 系统 验证 中 得 到 应 用 ， 并 
取得 显著 成 效 。 本 报告 主要 于 绕 软 件 形式 验证 工具 和 面向 诅 入 式 系统 的 混成 系统 验证 工 


具 进 行 介绍 。 
































2.6.1 软件 形式 验证 工具 


目前 软件 形式 化 验证 工具 的 主流 技术 有 两 种 : 基于 抽象 的 技术 路 线 和 基于 循环 /递归 
展开 的 技术 路 线 。 前 者 利用 抽象 技术 将 程序 状态 空间 映射 到 一 个 有 限 且 规模 较 小 的 抽象 
状态 空间 ， 再 通过 这 历 所 有 可 达 的 抽象 状态 来 判断 系统 是 否 正 确 。 采 用 抽象 路 线 的 软件 
形式 化 验证 工具 包括 SLAML461 、BLASTI421 、CPAChecker[45] 、UAutomizerL47 等 。 后 者 
将 程序 中 所 有 循环 和 递归 按 给 定 的 深度 展开 ， 得 到 一 个 不 含 循环 和 递归 的 简单 程序 。 这 
类 简单 程序 的 验证 问题 被 归结 为 一 个 逻辑 公式 的 可 满足 性 问题 ， 再 借助 已 有 的 SMT 工具 
(如 Z3 、MathSAT、Yices) 进行 求解 。 采 用 循环 /递归 展开 技术 路 线 的 软件 形式 化 验证 工 
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具 包 括 CBMCT  、ESBMCT 2 、2LSC 等 。 

以 抽象 解释 为 代表 的 程序 分 析 工 具 近 年 来 也 得 到 了 长 足 发 展 。 相 关 工 具 不 断 涌 现 ， 
出 现 了 PolySpacer801 、 Astr&er4811 、aiT WCGET Analyzer[“82] CodeHawkt4831 Sparrow[ 84 
Zoncolan( Facebook ) 、 Julial45] 等 商业 化 工具 和 Frama- C Value Analysis[88 、CCCheck 
(Code Contract Static Checker ) [487] 、 Interproc[488] 、cerab-llvm[488] 、IKOSt40] 、MemCADL41] 、 
Fluctuat[4sa] 、Jandoml483] 、JsCFAL44] 、MuJSL45] 等 学 术 界 工具 。Ming 等 人 基于 Astrk&e 开 
发 了 面向 异步 实时 程序 的 扩展 版 本 AstreeA， 以 支持 多 线程 C 程序 中 运行 时 错误 、 数 据 竞 
争 、 死 锁 等 错误 的 检测 ， 并 成 功 分 析 了 ARINC 653 航空 应 用 〈 约 220 万 行 代码 ) ””” 。 

软件 形式 化 验证 工具 的 一 个 发 展 趋势 是 模型 检测 技术 与 抽象 解释 等 程序 分 析 技 术 的 融 
合 。Beyer 等 人 在 2007 年 提出 可 配置 程序 分 析 (Configurable Program Analysis，CPA)L28] 的 
思想 ， 实 现 了 静态 分 析 与 模型 检测 在 一 个 理论 框架 下 的 融合 。 基 于 可 配置 程序 分 析 的 软 
件 验 证 工具 CPAChecker 曾 4 次 (2012、2013、2015 和 2018 年 ) 夺 得 国际 软件 验证 大 赛 
总 成 绩 的 冠军 。Heizmann 等 人 于 2013 年 提出 了 一 种 融合 自动 机 理论 ”的 软件 验证 方 
法 。 他 们 基于 该 方法 实现 的 UAutomizer 工具 连续 夺 得 2016 年 和 2017 年 国际 软件 验证 大 
赛 总 成 绩 第 一 名 。 

作为 程序 的 一 种 重要 形态 ， 并 行程 序 验证 成 为 目前 形式 化 验证 的 一 个 热点 领域 。 国 
际 上 出 现 了 较 多 的 并 行程 序 验证 工具 。 这 些 工具 分 别 使 用 了 偏 序 规约 、 限 界 模型 检测 、 
抽象 精 化 、 组 合 验证 等 技术 ， 文 持 PIThread 、OpenMP 以 及 MPI 等 并 行 框架 ， 可 以 对 常见 
静态 属性 和 用 户 自 定义 断言 属性 进行 验证 。 由 于 并 行程 序 的 行为 空间 异常 复杂 ， 目 前 这 
一 领域 的 工具 开发 还 处 于 学 术 研 究 阶段 ， 国 际 上 针对 并 行程 序 验证 的 主流 工具 有 
CBMCL57 、ESBMCL481 、Lazy-CSeq[46l 、SMACKL47 、 以 及 CPA-Seq[l 等 。 

随 着 软件 形式 化 验证 工具 的 日 益 完 善 ， 软 件 形 式 化 验证 在 工业 界 软件 ， 尤 其 是 操作 
系统 、 驱 动 程序 、 拒 入 式 程序 的 分 析 与 验证 中 得 到 了 成 功 应 用 。 耶 鲁 大 学 采用 形式 验证 
开发 了 一 个 全 新 的 操作 系统 CertiKOS“ "1 ， 号 称 是 世界 上 第 一 个 “没有 bug” 的 反 黑 客 攻 
击 操作 系统 。 美 国 国防 高 级 研究 计划 局 (DARPA) 在 2012 ~ 2017 年 实施 了 一 个 HACMS 
项 目 (High-Assurance Cyber Military System) 55l ， 采 用 了 形式 验证 方法 ， 在 开发 一 套 开源 
的 、 高 安全 确保 的 操作 系统 和 控制 系统 组 件 。 微 软 研 究 院 目前 正和 卡 内 基 梅 隆 大 学 等 合 
作 ， 开 展 一 项 雄心 勃勃 的 程序 证 明 项 目 ， 即 “珠穆朗玛 峰 〈Everest) ”项 目 ”"  。 亚 马 过 
针对 其 云 计算 IaaS 和 Paas 平台 的 S3 对 象 存储 系统 、DynamoDB NoSQL 数据 库 服务 、EBS 
弹性 块 存储 服务 等 10 个 系统 上 使 用 了 形式 化 验证 ， 显 著 提 高 了 系统 的 安全 可 靠 性 5? 1 。 


2.6.2 混成 系统 验证 工具 


近年 来 ， 相 关 领 域 国 际 科研 工作 者 在 非 线 性 混成 月 动机 模型 检测 工具 上 投入 了 大 量 的 
精力 并 取得 了 一 定 进 展 。 特 别 是 泰勒 模型 〈taylor model) ， 支 持 函 数 〈support function) 等 
数学 模型 被 应 用 到 了 混成 系统 状态 域 的 表达 与 计算 当中 。 近 年 出 现 的 工具 Row is 就 是 
一 个 成 功 应 用 泰勒 模型 对 非 线 性 混成 系统 进行 验证 的 示例 。Flow 要求 混成 自动 机 的 流 条 
件 必 须 由 多 项 式微 分 方程 描述 。 用 户 给 定 初始 区 间 与 一 个 固定 的 基本 时 间 步 之 后 ， 可 利 
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用 泰勒 模型 来 分 析 它 的 可 达 区 间 。 事 实 上 ， 泰 勒 模型 很 适合 连续 状态 的 计算 ， 但 是 当 进 
行 离散 跳 转 时 需要 和 转换 卫 式 做 相交 操作 ， 而 这 个 操作 的 复杂 度 很 高 。 与 Flow 不同 ， 
SpaceExis] 允许 系统 中 的 不 变 式 、 迁 移 卫 式 等 元 素 可 以 为 凸 函 数 。 同 样 在 给 定 一 个 基本 
时 间 步 之 后 ， 可 以 利用 support function 来 计算 在 此 时 间 步 之 后 的 系统 状态 域 。 相 关 工 具 
目前 已 经 在 部 分 非 线性 系统 上 进行 了 验证 ， 但 如 何 扩展 可 验证 系统 种 类 与 规模 ， 仍 然 是 一 
项 值得 关注 的 问题 。 近 年 来 出 现 的 CORAISI 、C2E218 1 、HyPro/HyDRAIS 0  、XSpeedlse 
等 工具 多 采用 了 类 似 方法 。 

除了 上 述 连续 时 间 验 证 工具 ，Hylaals ”1 、JuliaReachts ”等 离散 时 间 非 线性 混成 系统 
验证 工具 也 于 近年 来 开始 出 现 并 得 到 关注 。 而 机 器 人 、 汽 车 设计 等 领域 的 工程 设计 人 员 
也 在 CPSWEEK、ESWEEK 、SPIN 等 多 个 重要 场合 提 到 了 基于 离散 时 间 混 成 自动 机 进行 验 
证 与 测试 生成 对 实际 项 目 开 发 与 分 析 的 重要 意义 。 

上 述 工 具 主要 侧重 于 非 线 性 系统 验证 ， 在 线性 系统 上 ， 近 年 来 的 HyCompIs、 
Lyse5 等 工具 则 是 基于 约束 编码 与 求解 手段 的 典型 代表 。 由 于 当前 约束 求解 主要 集中 于 
解决 线性 约束 ， 非 线性 约束 难以 求解 ，HySATViSATE 及 dReachi5 和 提出 了 基于 区 间 运 
算 进 行 非 线性 行为 SMT 编码 与 求解 ， 并 在 一 些 案例 上 取得 较 好 结果 。 由 于 篇 幅 所 限 ， 其 
他 以 KeYmaerat] 为 代表 的 混成 系统 定理 证 明 工 具 等 在 此 不 再 歼 述 。 




































































2.7 量子 程序 分 析 与 验证 


传统 计算 机 科学 研究 和 发 展 的 经 验 充分 说 明 ， 要 发 挥 量子 计算 机 的 超 强 计算 能 
量子 软件 是 必 不 可 少 的 。 同 时 ， 由 于 量子 计算 机 和 传统 计算 机 在 信息 处 理 方面 有 着 本 质 
的 区 别 〈 比 如 量子 信息 的 不 可 克隆 性 和 纠缠 的 非 局 域 作用 等 特征 ) ， 量 子 程序 设计 将 是 
一 个 非常 困难 而 容易 犯错 的 过 程 ， 甚 至 需要 和 经 典 程序 设计 完全 不 同 的 思维 方式 。 因 此 ， 
一 套 行 之 有 效 的 分 析 和 验证 技术 对 于 保证 量子 程序 的 正确 性 显得 尤为 重要 。 另 一 方面 ， 
量子 硬件 设计 与 制造 技术 的 飞速 发 展 使 得 人 们 已 经 开始 乐观 预测 多 于 100 个 量子 比特 的 
特定 用 途 的 量子 计算 机 有 望 在 5 ~ 10 年 内 实现 〈 最 近 谷 歌 展示 了 72 个 量子 比特 的 计算 机 
芯片 ) 。 到 那 时 ， 量 子 程序 设计 和 程序 验证 将 成 为 真正 发 挥 量子 计 算 机 作用 的 关键 。 

程序 分 析 技术 在 编译 器 设计 及 程序 优化 等 方面 有 着 重要 的 应 用 。 善 林 斯 顿 大 学 、 加 
州 大 学 圣 巴 拉 拉 分 校 等 单位 合作 设计 的 量子 程序 语言 Scaffoldis "的 编译 器 ScaffCC 中 已 经 
采用 了 数据 流 分 析 的 一 些 方法 ， 分 析 量 子 程序 中 的 纠缠 并 检查 程序 是 否 违 反 量 子 不 可 克 
你 原理 。 应 明生 等 研究 了 有 限 维 希 尔 伯 特 空间 中 循环 体 为 酉 算 子 的 量子 循环 程序 的 终止 
问题 55] ， 这 一 结果 被 进一步 推广 到 循环 体 为 一 般 超 算 子 的 情形 ， 并 提供 了 计算 平均 执 
行 时 间 的 一 般 性 方法 5 加 ] 。 注 意 到 微软 新 近 推 出 的 量子 程序 语言 Q#s 已 经 支持 循环 ， 
这 一 工作 可 以 用 来 分 析 Q# 程 序 的 正确 性 。Perdrix 与 Jorrand5 5 将 抽象 解释 技术 引入 量 
子 程序 分 析 ， 特 别 是 程序 中 的 纠缠 及 其 演化 的 分 析 。Hondals] 进一步 分 析 了 可 用 stablizer 
formalism 描述 的 一 类 特殊 量子 程序 中 的 纠缠 。 

量子 程序 验证 研究 的 一 个 重要 方面 是 发 展 适 用 于 量子 计算 的 程序 逻辑 。Brunet 与 
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Jorrandls84] 提出 了 将 Birkhoff- von Neumann 量子 逻辑 应 用 于 量子 程序 推理 的 方法 ; Baltag 
与 Smetsis5 发 展 了 一 种 可 用 于 量子 系统 中 信息 流 形式 化 的 动态 逻辑 ; 冯 元 等 1 发 现 了 
关于 量子 程序 的 一 些 有 用 的 推理 规则 。Chadha 、Mateus 与 Sernadasf 给 出 了 量子 程序 在 
只 人 允许 有 界 迁 代 的 限制 下 的 一 个 Floyd- Hoare 型 证 明 系 统 ; Kakutanils 试图 将 den Hartog 
的 概率 Hoare 逻辑 推广 到 量子 情形 ， 但 这 些 尝试 都 不 成 功 。 应 明生 建立 了 一 个 真正 完整 
的 量子 Ployd- Hoare 逻辑 ,证 明了 其 〈 相 对 ) 完备 性 。 值 得 指出 的 是 ， 量 子 Floyd- Hoare 
逻辑 完备 性 的 证 明 用 到 了 与 经 典 了 loyd- Hoare 逻辑 完备 性 的 证 明 很 不 一 样 的 方法 ， 需 要 采 
用 一 些 分 析 数 学 的 技术 。 

模型 检测 是 计算 机 系统 ,包括 硬件 和 软件 系统 形式 化 验证 的 一 种 重要 技术 ， 由 于 其 
完全 机 械 化 和 可 以 提供 错误 诊断 信息 ， 在 工业 界 得 到 了 广泛 的 应 用 。 有 趣 的 是 ， 针 对 量 
子 程序 和 协议 的 验证 ， 我 们 有 两 种 不 同 的 量子 马尔 可 夫 链 模型 以 及 适用 于 各 自 模 型 的 形 
式 化 验证 方法 。 工 型 量子 马尔 可 夫 链 的 状态 空间 为 系统 的 所 有 可 能 量子 状态 的 集合 ， 模 
型 的 变迁 由 描述 量子 系统 演化 的 超 算 子 给 出 。 对 这 种 类 型 的 量子 马尔 可 夫 链 ， 其 状态 空 
间 的 BSCC 分 解 、 可 达 空 间 概率 、 重 复 可 达 概 率 、persistence 概率 等 问题 都 存在 多 项 式 时 
间 算 法 52 9 。 与 之 对 比 ， 开 型 量子 马尔 可 夫 链 的 状态 空间 和 传统 马尔 可 夫 模 型 一 样 是 
完全 经 典 的 ， 因 此 在 一 般 情 形 下 也 是 有 限 的 ， 但 连接 经 典 状态 的 转移 概率 被 蔡 换 成 撒 述 
量子 系统 变迁 的 〈 不 保 迹 ) 超 算 子 。 这 一 模型 可 以 非常 方便 地 描述 带 经 典 控制 流 的 量子 
软件 系统 。 文 献 [272-273 ，544] 中 研究 了 开 型 量子 马尔 可 夫 链 模型 下 的 各 种 可 达 性 问 
题 ， 并 详细 讨论 了 其 对 于 QCTL 分 校 时 序 逻 辑 公式 和 w -= 正则 语言 描述 的 性 质 的 模型 检 
测 。 通 过 将 概率 测度 推广 到 以 超 算 子 为 值 的 测度 ，Anticoli 等 开发 了 一 款 工具 [5 ， 可 将 
量子 程序 语言 Quipper 的 程序 翻译 到 工 型 量子 马尔 可 夫 链 ， 然 后 用 QPMC 进行 验证 。 
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3. 1 定理 证 明 





国内 在 交互 式 定理 证 明 方面 的 研究 主要 集中 于 证 明 辅 助 工 具 的 应 用 研究 上 。 

在 操作 系统 和 编译 噩 方面 ,文献 [40] 在 Cod 中 形式 化 了 一 个 抢占 式 操作 系统 内 核 
验证 框架 ， 并 基于 该 框架 首次 验证 了 一 个 商业 化 抢占 式 实时 操作 系统 内 核 wCZ0S- 开 的 关 
键 功能 的 正确 性 ; 文献 [41]j 在 Coq 中 形式 化 了 同步 数据 流 语 言 Lustre 的 编译 髓 ， 文 献 
[48] 在 Cod 中 实现 了 同步 语言 SICNAL 的 编译 央 ; 文献 [43」 对 安全 增强 操作 系统 中 一 
种 常用 的 访问 控制 模型 在 Isabelle/HOL 中 进行 了 形式 化 ， 并 验证 了 其 安全 性 和 完备 性 。 

在 混成 系统 验证 方面 ,文献 [73」] 在 Isabelle/HOL 中 形式 化 了 基于 HCSP 的 混成 系 
统 建 模 和 验证 框架 ， 实 现 了 混成 系统 的 定理 证 明 器 ， 并 将 其 应 用 到 高 速 列 车 和 航天 控制 
软件 的 安全 性 验证 中 。 
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在 算法 验证 方面 ,文献 【42] 在 Isahelle/HOL 证 明了 判定 正则 语言 的 Myhill- Nerode 
定理 的 正确 性 ; 文献 [44] 对 可 计算 性 理论 进行 了 形式 化 ,证 明了 图 灵机 、 算 盘 机 和 有 递 
归 函 数 3 种 计算 模型 之 间 的 等 价 性 。 

在 形式 化 数学 方面 , 文献 【45-46] 基于 HOL4 系统 完成 了 工程 数学 中 的 很 多 理论 的 
形式 化 证 明 ， 其 中 复数 和 gauge 积分 形式 化 理论 库 已 被 英国 剑桥 大 学 HOL4 官方 接收 ， 除 
此 之 外 ， 他 们 还 研究 了 空间 总 线 SpaceWire 的 形式 化 验证 。 

国内 对 于 自动 推理 的 研究 起 步 较 晚 ， 但 在 某 些 方面 取得 了 突出 成 果 。 
清华 大 学 的 周明 博士 等 人 提出 了 一 个 名 为 “惰性 分 解 与 调解 〈]lazy decomposition and 
conciliation ) ”的 SMT 并 行 求解 框 训 ， 并 基于 Z3 实现 了 工具 PZ3 。PZ3 在 具有 稀疏 结构 的 
实例 上 通常 可 取得 超 线 性 的 加 速 比 ， 与 国际 上 先进 的 SMT 并 行 求解 器 PCVC4 相 比 更 加 
高 效 灾 ) 。 

SMT 公式 的 可 满足 性 是 判定 问题 ， 即 判断 一 个 给 定 的 SMT 公式 是 否 有 解 。 在 很 多 情 
况 下 ， 不 仅 要 知道 解 是 否 存 在 ， 还 关心 解 空间 的 大 小 ， 因 此 有 必要 将 SMT 由 判定 问题 扩 
展 为 计数 问题 。 中 科 院 软件 所 的 研究 人 员 首 先 研 究 了 SMT 公式 的 解 计 数 / 解 空 间 体积 计 
算 问题 (的 MT) ， 并 提出 了 一 个 基于 DPLL(T) 的 精确 计算 方法 一 一 逐 篮 法 避 : 。 由 于 
的 MT 问题 具有 起 的 复杂 度 ， 对 于 实际 应 用 中 的 问题 ， 佑 算是 更 为 可 行 的 方法 。 清 华 大 
学 的 周 巡 博士 提出 了 一 种 SMT(LRA) 解 空间 大 小 佑 算 算 法 ,结合 了 BDD 的 数据 结构 以 
及 一 种 采用 射线 式 采 样 的 蒙特 卡 罗 算 法 区 ] 。 中 科 院 软件 所 的 葛 存 菁 等 人 针对 凸 多 面体 的 
体积 估算 问题 ， 改 进 了 经 典 的 多 相位 蒙特 卡 罗 算 法 ， 可 以 快速 估算 出 几 十 维 的 高 维 凸 多 
面体 体积 ， 并 基于 此 设计 了 SMT(LRA) 的 解 空间 大 小 估算 方法 名 ] 。 对 于 位 向 量 理论 上 
的 #SMT 问题 和 一 般 的 的 AT 问题 ， 葛 存 靖 等 人 也 提出 了 一 个 新 的 基于 哈 希 函 数 的 近似 方 
法 ， 可 得 到 有 理论 保证 的 佑 算 结 果 ， 并 且 其 求解 效率 比 国 际 上 同类 工具 提升 了 1 ~2 个 数 
量 级 !% 1 。 

此 外 ， 国 防 科技 大 学 张建民 、 李 思 昆 教授 等 研究 了 SMT 的 极 小 不 可 满足 核 问题 ， 通 
过 对 极 小 不 可 满足 核 问 题 的 检测 ， 可 为 SMT 公式 的 不 可 满足 性 提供 精确 的 解释 !?] 。 




























































































3.2 形式 模型 


3.2.1 概率 自动 机 模型 


概率 自动 机 及 概率 模型 检测 国内 近 五 六 年 来 也 涌现 了 相当 多 的 优秀 的 结果 。 概 率 模 
型 检测 方面 , 文献 [107，121] 给 出 了 概率 混成 系统 安全 性 质 验证 的 算法 和 验证 的 框 如 ， 
文献 [108-109] 给 出 了 连续 时 间 马 尔 科 夫 过 程 上 连续 随机 逻辑 验证 的 算法 和 工具 ， 文 献 
[110] 给 出 了 马尔 科 夫 人 口 模型 上 连续 随机 逻辑 验证 的 算法 ,文献 [111] 将 概率 模型 
检测 中 的 模型 、 逻 辑 、 算 法 进行 整合 ， 实 现 了 中 国 范围 内 第 一 个 大 规模 的 模型 检测 工具 
iscasMc， 该 工具 由 中 国 科学 院 软件 研究 所 的 张 立 军 研究 员 主 持 开发 和 维护 ， 在 概率 模型 
检测 功能 上 做 到 了 广 而 精 。 在 概率 自动 机 理论 和 概率 模型 上 的 互 模拟 理论 方面 ， 文 献 
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[80，111-118] 人 研究 了 各 种 概率 模型 中 强 互 模拟 、 弱 互 模拟 、 模 拟 以 及 基于 分 布 的 互 模 
拟 等 概念 ， 并 在 逻辑 刻画 、 度 量 刻 画 、 算 法 优化 等 角度 进行 了 深入 研究， 而 文献 [119- 
120] 也 在 概率 自动 机 理论 和 概率 程序 分 析 方面 做 出 了 突破 。 除 此 以 外 ， 在 有 关 概 率 模型 
检测 的 逻辑 理论 中 , 文献 [126」 将 线性 时 序 逻 辑 中 安全 性 〈safety) 和 活性 〈liveness ) 
的 概念 推广 到 概率 分 支 时 序 逻 辑 上 ， 在 拓扑 刻画 、 公 式 分 解 及 安全 性 活性 判定 方面 取得 
了 帘 破 性 的 成 果 ， 其 他 在 连续 时 间 概 率 逮 辑 中 的 突破 工作 可 参见 文献 [127，129]， 这 些 
理论 工作 对 概率 模型 检测 的 理论 和 方法 研究 都 有 着 长 足 的 作用 。 


3.2.2 混成 自动 机 模型 


近 5 年 来 ， 国 内 学 者 在 混成 自动 机 模型 形式 化 验证 方面 取得 了 丰富 的 成 果 。 文 献 
[172] 和 文献 【169，171] 中 分 别提 出 了 基于 SAT-LP-IS 结合 的 混成 自动 机 有 界 验证 剪 校 
与 编码 技术 ， 以 及 基于 不 可 行路 径 的 有 界 验 证 结论 全 局 推导 等 技术 ， 有 效 提 高 了 可 验证 系 
统 的 规模 与 验证 效率 。 针 对 半 代 数 混成 系统 的 概率 验证 问题 ,文献 [170」 基于 栅栏 函数 的 
思想 ， 提 出 了 新 型 方法 求 取 安 全 概率 精确 下 界 。 文 献 [547」 中 提出 了 利用 中 优化 计算 具有 
指数 变化 条 件 栅 栏 本 数 的 方法 对 多 项 式 混成 模型 进行 了 形式 化 验证 。 文 献 [175」 通过 释放 
栅栏 函数 的 约束 条 件 对 文献 [547] 做 了 进一步 的 推广 ; 文献 [173」 中 提出 了 计算 多 项 式 
混成 模型 不 变量 的 方法 。 文 献 【174」 研究 了 一 类 解析 解 可 得 的 非 线性 模型 的 可 达 集 计算 问 
题 。 文 献 [144」 将 刻画 非 线性 系统 可 达 集 的 Hamilton-Jacobi 偏 微分 方程 的 求解 问题 转化 为 
凸 优化 问题 ， 在 此 方法 中 ， 仅 需求 解 一 个 凸 优化 就 可 同时 得 到 可 达 集 的 高 估计 和 低 佑 计 。 

特别 需要 强调 的 是 ， 国 内 学 者 近 5 年 推动 了 时 滤 混成 模型 形式 化 验证 的 发 展 。 文 献 
[178j」 中 提出 了 一 种 基于 区 间 泰 勒 模 型 近似 的 方法 ， 通 过 计算 可 达 集 的 过 高 佑 计 来 验证 
一 类 简单 时 沾 微 分 方程 的 安全 性 和 稳定 性 。 文 献 【152] 提出 了 基于 欧 拉 方法 计算 时 羔 微 
分 方程 可 达 集 过 高 佑 计 的 数值 方法 ， 同 时 能 够 给 出 严格 的 误差 上 界 。 文 献 【153」 中 利用 
敏感 性 分 析 给 出 了 一 类 其 解 具 有 同 胚 性 质 的 时 滞 微分 方程 ， 将 常 微 分 方程 中 利用 边界 计 
算 可 达 集 的 方法 推广 到 了 此 类 时 滞 微 分 系统 ， 提 出 了 计算 其 可 达 集 的 过 高 和 过 低 佑 计 的 
方法 。 文 献 【153」 中 记载 了 第 一 个 计算 时 澡 系 统 可 达 集 低估 计 的 工作 。 


3.2.3 无 穷 状 态 并 发 系统 模型 

















































































































国内 上 海 交 通 大 学 BASICS 实验 室 在 此 领域 有 突出 的 研究 贡献 ， 主 要 贡献 包括 证 明了 
nBPA 上 的 分 支 互 模拟 是 可 判定 的 ， 解 决 了 一 个 长 期 公开 的 问题 5” ， 给 出 了 进程 重 写 系 
统 中 的 9 类 模型 上 的 分 支 互 模拟 的 可 判定 与 不 可 判定 的 分 界线 "” 。 最 近 ， 又 证 明了 
nBPA 上 的 分 支 互 模拟 是 EXPTIME- 完 备 的 5 ， 并 且 给 出 了 一 个 anBPA 上 分 支 互 模拟 判定 
问题 的 指数 时 间 下 界 。 该 归 约 构造 了 指数 个 宛 余 集 以 达到 目标 扣 。 另 外 ， 研 究 了 PDA 
及 其 扩展 系统 的 等 价 和 可 达 性 问题 的 判定 性 结论 。 在 PDA 的 等 价 性 验证 方面 ， 证 明了 将 
内 部 动作 限制 在 popping 动作 或 pushing 动作 的 PDA 的 分 支 互 模拟 是 可 判定 的 。 这 一 结 
比 已 知 的 PDA 的 互 模拟 等 价 的 可 判定 性 和 语言 等 价 的 可 判定 性 都 强 。 再 进一步 ， 证 明了 
这 一 结果 在 一 定 意 义 下 是 最 强 的 。 
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3.3 形式 语义 与 形式 建 模 


形式 语义 方面 最 近 5 年 的 国内 研究 主要 包括 如 下 工作 : 文献 [197」 中 定义 了 PTSC 
语言 的 指称 语义 ， 其 中 PTSC 语言 是 一 种 具备 概率 、 时 间 、 共 享 变量 通信 并 发 的 语言 ; 文 
献 [197，199] 分 别 对 PISC 和 Verilog 的 操作 语义 和 指称 语义 的 连接 理论 进行 了 研究 ; 
文献 [200] 中 定义 了 一 种 模式 图 建 模 语 言 MDM 的 操作 语义 ; 文献 [201] 中 定义 了 一 
种 概率 中 断 建 模 语 言 pIML 的 指称 语义 ; [202] 定义 Systemc 的 指称 语义 ; [204] 定义 了 
一 种 Ore 语言 的 指称 语义 ; 文献 [203」 中 对 Rust 编程 语言 操作 语义 进行 了 研究 ， 将 大 
部 分 Rust 语义 成 分 的 语义 在 K 框架 中 实现 ， 语 义 用 Rust 编译 器 压力 测试 程序 进行 了 语义 
正确 性 的 测试 ， 并 利用 K 框架 的 工具 生成 了 Rust 程序 解释 器 、 调 试 器 和 验证 工具 。 

形式 建 模 方面 ， 最 近 5 年 国内 的 研究 主要 包括 以 下 工作 : 

西安 电子 科技 大 学 段 振 华 教授 的 团队 建立 了 一 个 并 行 时 序 逻 和 辑 的 建 模 语 言 MSVL 
(Modeling，Simulation and Verification Language) ， 它 是 PTL(Projection Temporal Logic) 的 
一 个 可 执行 子 集 。 他 们 定义 了 MSYVL 的 模型 语义 、 操 作 语 义 和 公 理 语义 ， 开 发 了 相应 的 
编译 器 。 模 型 检测 的 一 大 难题 就 是 系统 模型 的 提取 ， 使 用 MSYL 可 以 直接 对 系统 建 模 ， 
得 到 MSVL 程序 ， 也 可 以 将 原 有 的 系统 ， 如 CZVerilog/VHDL 程序 转换 为 MSVL 程 
序 全 2 。 为 方便 转换 ， 开 发 了 相应 的 转换 工具 C2M 和 V2M， 从 而 形成 了 一 个 基于 
PPTL 和 MSYL 的 统一 模型 检测 方法 UMC(Unified Model Checkiing) 。 另 外 ， 为 了 绥 解 状态 
空间 爆炸 问题 ， 该 团队 提出 了 几 个 很 有 创新 性 的 理论 和 方法 : 中 大 幅度 改进 了 CEGAR 方 
法 ,将 精 化 时 间 复 杂 度 从 指数 阶 降 为 多 项 式 〈 平 方 阶 ) ， 同 时 将 反例 路 径 检 测算 法 时 间 
复杂 度 从 多 项 式 降 为 线性 的 ; 包 提 出 了 基于 Craig 插值 〈interpolation) 的 安全 搬 值 和 检 鲁 
插值 ， 大 大 缩减 了 静态 分 析 的 状态 空间 ， 提 高 了 效率 ; 轧 提 出 了 一 个 基于 MSYVL 的 运行 
时 程序 验证 方法 : 一 个 待 验证 的 系统 模型 用 MSVYL 程序 M 表达 ， 无 论 直 接 编 码 或 者 转化 
得 到 ， 一 个 正则 性 质 则 用 PPTL 公式 表达 ， 该 性 质 的 非 又 可 以 通过 自动 转化 工具 P2M 转 
为 MSVYL 程序 M 。 对 新 程序 M 和 M: 进行 编译 ， 生 成 可 执行 代码 。 执 行程 序 ， 如 果 得 到 
false， 则 程序 满足 性 质 ， 如果 得 到 true， 一 条 执行 路 径 便 是 一 个 反例 。 程 序 的 输入 怎么 产 
生 呢 ? 可 以 通过 两 种 方法 : 中 应 用 DSE 方法 对 M 和 M: 进行 符号 约束 ， 再 应 用 Z3 求解 得 
到 输入 变量 的 初 值 集 ; @) 应 用 静态 分 析 CECAR 方法 得 到 反例 路 径 ， 再 执行 程序 检测 反例 
的 真 假 。 为 方便 使 用 ， 开 发 了 一 个 工具 集 MSYV， 包 括 建 模 工具 、 执 行 工 具 、 验 证 工具 、 
转换 工具 等 。 

中 国 科学 技术 大 学 提出 了 一 种 基于 依赖 /保证 的 模拟 关系 RCSimn 和 一 种 替 尔 风格 的 
程序 逻辑 实现 并 发 程序 精 化 验证 ” 。 

文献 [224] 等 提出 利用 模糊 规则 和 Petri Net 刻画 自 适 应 系统 。 文 献 [225] 等 提出 
基于 控制 理论 的 自 适 应 软件 建 模 方 法 。 文 献 【226，227] 等 提出 对 安全 威胁 相关 性 质 进 
行 描述 的 时 序 逻 辑 DT-MTL， 利 用 交错 自动 机 生成 运行 时 监控 融 来 实现 对 无 人 飞行 系统 及 
无 人 机 系统 的 运行 时 验证 。 
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3.4 形式 规约 


南京 大 学 赵建华 、 李 宣 东 教授 的 研究 团队 ， 提 出 了 分 离 逻 辑 的 一 种 变种 ， 称 之 为 
Scope Logicles5] 。 该 种 逻辑 中 引入 了 3 类 基本 算 子 ， 分 别 对 应 于 基本 内 存 访问 、 结 构 字 上段 
访问 、 数 组 访问 操作 。 这 种 扩展 可 以 较 好 地 与 命令 式 语言 之 间 产 生 对 应 。 

中 科 院 软件 所 的 吴 志 林 等 人 对 带 归纳 谓词 的 分 离 罗 辑 的 判定 算法 进行 了 深入 的 研究 。 
他 们 首先 考虑 了 对 Cook 等 人 的 单 链 表 片 段 上 的 多 项 式 时 间 的 结果 的 扩展 ， 证 明了 含有 双 
链表 片段 的 归纳 谓词 的 分 离 逻 辑 的 可 满足 性 问题 是 NP- 完 全 的 ， 而 且 他 们 将 Cook 等 人 的 
多 项 式 时 间 的 结果 扩展 到 树 结构 上 Isesl 。 他 们 对 于 含有 线性 算术 约束 和 可 组 合 归 纳 谓词 
的 分 离 逻辑 子 集 的 判定 算法 进行 了 深入 的 探讨 茎 721 。 

西安 电子 科技 大 学 段 振 华 教授 的 团队 提出 了 投影 时 序 逻 辑 PTL， 研 究 了 命题 PTL 
(PPTL) 的 判定 性 、 复 杂 性 和 表达 性 ， 建 立 了 PPTL 的 一 个 合理 的 〈soundness) 且 完 备 的 
(completeness) 公理 系统 。 由 于 PPTL 是 可 判定 的 ， 而 且 它 的 表达 能 力 是 完全 正则 的 ， 不 
但 能 够 表达 常用 的 LTL 和 CTL 可 以 表达 的 时 序 性 质 ， 而 且 能 够 表达 更 重要 的 程序 性 质 ， 
例如 区 间 相 关 的 性 质 以 及 周期 性 重复 的 闭 包 性 质 。 

华东 师范 大 学 的 犹 戈 光 等 人 在 LIL 的 可 满足 性 问题 方面 展开 了 深入 的 探讨 ， 提 出 了 
高 效 的 判定 算法 ， 并 开发 了 求解 器 忆 55 2 。 

上 海 科技 大 学 的 宋 富 等 人 在 文献 [269] 中 证 明了 ATL、AMC 和 ATL 在 下 推 多 智能 
体系 统 上 的 模型 检测 问题 分 别 是 EXPTIME-、2EXPTIME- 和 3EXPTIME- 完 全 的 。 在 文献 
[270] 中 对 策略 逻辑 SL 的 子 类 模型 检测 问题 进行 了 研究 ,证明 SLL1G] 和 BSIL 子 类 模 
型 检测 问题 分 别 是 3EXPTIME- 和 2EXPTIME- 完 全 的 。 

在 时 序 逻 辑 的 概率 扩展 方面 ， 刘 万 伟 、 宋 磊 、 王 戟 、 张 立 军 等 人 在 文献 [271] 中 提 
出 了 PhTL， 同 2 - 演算 相 比 ， 它 仅 包 含 莹 > 已 这 样 的 概率 时 序 算 子 。 然 而 ， 它 同样 可 以 
规约 “区 域 安全 ”人 性质， 并 与 PCTL 的 表达 能 力 不 兼 容 。 他 们 证 明了 PRTL 的 可 满足 性 问 
题 属 于 2EXPTIMF-。 

在 时 序 逻 辑 的 量子 扩展 方面 ， 汉 元 等 人 给 
检测 算法 呈 ” 。 随 后 ， 在 文献 [273] 中 ， 又 给 
















































































上 了 量子 马尔 可 夫 链 上 关于 QCTL 的 模型 
上 了 关于 wo -正规 性 质 的 模型 检测 算法 。 
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3.5 形式 验证 技术 与 方法 


3. 5.1 演绎 推理 








在 针对 实际 系统 的 基于 演绎 推理 的 验证 方面 ， 清 华 大 学 团队 在 Coq 中 开展 了 Lustre 
语言 编译 器 L2C 的 验证 台 。L2C 以 扩展 的 Lustre 语言 为 源 语 言 ， 以 Clight( CompCert 
中 的 C 语言 子 集 ) 为 目标 语言 。 编 译 天 在 Cod 中 实现 并 验证 。L2C 可 以 和 CompCert 无 颖 
衔接 ， 最 终 实 现 从 Lustre 到 汇编 的 可 信 编 译 。 中 科大 团队 对 商业 化 谍 人 式 实时 系统 ARC《 
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0S-I 在 Cog 中 开展 验证 [1 ， 完 成 了 近 70% 常用 API 的 验证 。 验 证 忠于 系统 原 有 代码 的 
实现 ， 对 源 代 码 改 动 极 少 。 这 是 国际 上 首次 对 产品 级 抢占 式 并 发 内 核 的 验证 。 北 京 航空 
航天 大 学 团队 和 合作 者 对 航空 航天 操作 系统 的 事实 标准 ARINC 653 进行 了 完整 的 形式 化 
建 模 ， 并 在 模型 层面 进行 了 隔离 性 的 验证 吕 ” 。 解 放 军 理工 大 学 团队 在 Isabelle/HOL 中 对 
优先 级 继承 协议 、 访 问 控 制 协议 和 文件 比较 算法 等 开展 了 验证 [se se 。 

在 程序 逻辑 方面 ， 中 科大 团队 先后 提出 一 系列 关系 型 并 发 程序 精 化 验证 逻辑 ， 包 括 
验证 线性 一 致 性 的 逻辑 !2"] 、 对 无 锁 并 发 程序 进展 性 验证 的 程序 逻辑 !"7 、 对 阻塞 算法 进 
展 性 验证 的 程序 逻辑 LiLif 及 其 扩展 呈 2 等 。 中 科 院 软件 所 团队 对 混成 CSP 提出 了 一 系 
列 程序 逻辑 [se sl ， 并 使 用 程序 逻辑 开展 了 对 高 铁 控制 系统 的 验证 I7e1 。 


3. 5.2 抽象 解释 


国防 科技 大 学 的 陈 立 前 等 人 在 数值 抽象 域 的 设计 与 实现 、 基 于 抽象 解释 的 静态 分 析 
等 方面 开展 了 深入 的 研究 : 针对 已 有 数值 抽象 域 在 表达 能 力 方面 存在 的 凸 性 局 限 性 ， 提 
出 了 绝对 值 八 边 形 抽 象 域 Le 、 区 间 线 性 模板 约束 抽象 域 [s8] 等 非 凸 数值 抽象 域 ， 以 更 精 
确 地 分 析 程序 中 的 析 取 行为 ， 减 少 误 报 ; 为 了 提高 抽象 解释 分 析 的 精度 ， 提 出 了 一 种 结 
合 抽象 域 与 SMT 的 块 级 抽象 解释 技术 5 ;基于 抽象 解释 提出 了 一 种 面向 中 断 驱动 型 程 
序 的 可 靠 数值 性 质 分 析 方 法 ， 以 检查 中 断 驱 动 型 谋 入 式 软件 中 的 数值 相关 运行 时 错误 ， 
并 在 实际 航天 工业 代码 上 开展 了 示范 应 用 [sl ;在 抽象 解释 框架 下 提出 了 一 种 通过 结 
合 形态 抽象 和 数值 抽象 来 分 析 链 表 操 作 程序 的 方法 ， 以 发 现 同时 包含 形态 和 数值 信息 的 
复杂 程序 性 质 [Esaol ;提出 了 一 种 深度 融合 数组 抽象 和 数组 上 动态 数据 结构 〈 如 数组 内 部 
维护 的 链表 ) 抽象 的 方法 ， 自 动 验 证 了 Minix 、Tiny0OSs 等 操作 系统 内 存 管 理 、 驱 动 程序 
等 相关 模块 的 正确 性 性 质 [s%41 。 

北京 邮电 大 学 的 金 大 海 、 宫 云 战 等 人 基于 抽象 解释 于 绕 区 间 抽 象 域 扩展 、 抽 象 内 存 
建 模 、 缺 陷 关 联 等 及 其 在 缺陷 检测 中 的 应 用 开展 了 研究 [sl ， 并 把 相关 技术 应 用 于 缺陷 
检测 工具 DTS 中 。 南 京 大 学 的 潘 建 东 等 人 针对 显 式 和 隐 式 含有 析 取 语义 的 循环 结构 ， 提 
出 了 基于 循环 分 解 和 归纳 推理 的 不 变 式 生成 改进 方法 ， 缓 解 了 抽象 解释 分 析 中 出 现 的 语 
义 损 失 问题 F] 。 苏 州 大 学 陈 冬 火 等 人 提出 了 一 种 基于 凸 多 面体 抽象 域 的 自 适 应 状态 空 
间 离 散 化 方法 ， 实 现 了 自 适应 的 基于 凸 多 面体 域 的 强化 学 习 算 法 蔗 " 1 。 


3. 5. 3 ”模型 检测 


清华 大 学 形式 化 验证 团队 研究 基于 屏障 证 书 的 混成 系统 验证 ， 提 出 了 一 种 更 一 般 的 、 
基于 指数 条 件 的 屏障 证 书 ， 可 以 为 系统 的 可 达 集 形成 一 个 更 加 精确 的 上 近似 荆 ”1 。 

清华 大 学 贺 飞 等 人 研究 基于 假设 /保证 〈assumeguarantee) 规则 的 组 合 推理 方法 。 
将 组 合 验证 和 符号 化 这 两 种 应 对 模型 检测 状态 空间 爆炸 的 有 效 技术 结合 起 来 ， 提 出 了 一 
个 完全 符号 化 的 、 基 于 假设 - 保证 推理 的 组 合 验证 方法 " 。 他 们 还 提出 回归 组 合 验证 
的 思想 ， 给 出 了 基于 假设 - 保证 推理 的 回归 组 合 验证 框架 ， 并 证 明了 该 框架 的 正确 性 和 
完备 性 5"] 。 该 团队 还 研究 了 概率 系统 的 组 合 验证 问题 ， 通 过 引入 权重 自动 机 ， 首 次 实 
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现 了 一 个 正确 且 完备 的 概率 系统 自动 组 合 验证 框架 荆 " ”1 。 

清华 大 学 贺 飞 等 人 开发 了 一 个 面向 构件 化 系统 的 模型 检测 工具 Beagle。 针 对 构件 化 
系统 的 特点 实现 了 专属 的 高 效 验 证 算法 ”7 ， 并 成 功 应 用 于 高 铁 控制 设备 、 航 空 发 动机 
控制 软件 的 分 析 与 验证 中 。 

南京 大 学 下 舌 等 提出 了 在 路 径 求解 中 不 可 行 子路 径 定 位 及 状态 空间 剪 枝 的 方法 ”1 ， 
并 将 其 应 用 到 线性 数值 计算 软件 代码 BMC 中 。 南 京 大 学 团队 在 LLVM 框架 下 ， 开 发 了 相 
关 验 证 工具 BRICK， 在 数值 计算 代码 的 有 界 模型 检测 上 取得 良好 效果 。 

由 国防 科技 大 学 研发 的 并 行程 序 验证 工具 Yogar- CBMC 在 SV-COMP 2017 和 2018 中 
连续 两 年 获 并 行程 序 验证 冠军 。 该 工具 结合 限界 模型 检测 、 抽 象 精 化 和 网 分 析 等 方法 对 
并 行程 序 的 并 行 行为 进行 抽象 ， 避 免 了 限界 模型 检测 过 程 中 生成 复杂 的 约束 表达 式 。 而 
西安 电子 科技 大 学 田 聪 等 提出 了 一 个 高 效 的 反例 路 径 检测 算法 和 抽象 模型 精 化 方法 ， 并 
将 其 在 软件 模型 检测 工具 CPAChecker 中 使 用 ， 大 幅度 提高 了 程序 验证 的 效率 和 可 验证 程 
序 的 规模 吕 1 。 

在 时 序 性 质 验 证 方面 ， 上 海 科技 大 学 宋 富 等 提出 了 顺序 递归 程序 CTL 性 质 模型 检查 
算法 ， 基 于 该 算法 设计 实现 的 模型 检查 工具 PuMoc 可 用 于 验证 布尔 程序 、CZC ++ 和 Java 
程序 [ss ， 同 时 提出 了 两 种 时 态 逻 辑 SCTPL 和 SLTPL 用 于 更 加 简洁 地 措 述 程序 的 性 质 及 
其 程序 栈 的 行为 ， 设 计 实 现 了 SCTPL 和 SLTPL 模型 检查 工具 Pommade， 并 应 用 于 二 进 制 
恶意 软件 的 检测 和 C 程序 API 约束 检查 [fs”] 。 

国防 科技 大 学 刘 万 伟 等 人 针对 采用 线性 规约 的 软件 验证 问题 ， 提 出 了 一 种 轻 量 级 的 
“保持 反例 的 规约 化 简 ” 方 法 !”1 。 与 传统 的 规约 化 简 方 法 相 比 ， 它 不 要 求 保 持 规约 的 等 
价 性 ， 因 此 扩展 了 规约 化 简 的 范围 。 

Craig interpolant 生成 在 软件 验证 ， 特 别 是 基于 抽象 的 CEGAR 验证 框架 中 发 挥 着 重要 
作用 。 中 科 院 软件 所 往 乃 军 等 提出 首 个 非 线性 Craig Interpolant 生成 算法 ， 将 任何 两 个 非 
线性 公式 的 插值 问题 归结 为 两 个 半 代 数 系统 的 插值 问题 ， 并 进一步 利用 Positivstellensatz 
定理 归结 为 半 定 规划 问题 而 进行 有 效 求解 史 " ”1 。 相 关 工 作 在 非 线 性 代码 验证 、 模 型 检 
测 、 定 理 证 明 等 方面 具有 重要 意义 。 

























































































3. 5.4 符号 执行 


国内 在 符号 执行 方面 开展 研 究 的 单位 主要 集中 在 中 国 和 科学院、 南京 大 学 、 国 防 科技 
大 学 、 武 汉 大 学 、 华 东 师 范 大 学 、 西 安 交 通 大 学 等 一 些 单位 。 下 面 从 缓解 路 径 空 间 爆炸 、 
约束 求解 、 工 具 文 撑 等 几 个 方面 阐述 国内 的 进展 。 

在 缓解 路 径 空间 爆炸 方面 ， 南 东 大 学 的 李 游 等 人 提出 了 基于 子路 径 频 谱 上 柳 疼 频 率 的 
符 扣 执行 制导 策略 ， 指 导 符 号 执行 优先 探索 程序 中 的 罕 至 部 分 ， 以 更 好 地 覆盖 程序 并 发 
现 错误 。 此 外 ， 他 们 还 提出 了 基于 目标 的 符号 执行 制导 策略 ， 用 于 确认 警报 的 正确 
性 ， 降 低 人 工 审查 的 开销 。 国 防 科 技 大 学 的 张 羽 丰 、 陈 振 邦 、 王 戟 等 人 提出 了 正规 性 质 
(所 有 可 用 有 限 状 态 机 表达 的 性 质 ) 制导 的 动态 符号 执行 方法 “; ， 以 引导 符号 执行 过 程 
更 快 地 找到 被 分 析 程序 中 满足 给 定 正规 性 质 的 路 径 ; 在 此 基础 上 ， 提 出 了 基于 符号 执行 
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的 正规 性 质 符号 化 验证 方法 名 ?1 ， 能 有 效 削 减 程序 的 路 径 空间 ， 提 高 验证 效率 。 国 防 科 
技 大 学 的 陈 立 前 等 人 基于 符号 执行 技术 提出 了 一 种 针对 浮 点 程序 鲁 棒 性 的 自动 分 析 方 
法 [sl 。 华 东 师范 大 学 的 苏 亭 、 犹 戈 光 等 人 把 软件 模型 检测 技术 与 动态 符号 执行 相 结 合 ， 
用 于 提高 数据 流 测试 的 效率 "1 。 西 安 交 通 大 学 王 海 军 等 人 提出 了 一 种 程序 依赖 引导 的 
符号 执行 技术 [1 ， 利 用 程序 依赖 关系 引导 符号 执行 选择 性 地 探索 程序 路 径 ， 在 保证 和 
传统 符号 执行 相同 的 错 检测 能 力 的 情况 下 ， 约 简 执 行 重复 程序 行为 的 测试 案例 。 

在 约束 求解 方面 ， 南 京 大 学 下 竺 等 提出 了 将 基于 机 器 学 习 的 优化 分 析 技术 纳入 符号 执 
行 框架 进行 约束 求解 的 方法 ， 通 过 后 台 猜 值 、 前 台 执 行 确认 的 迁 代 方式 对 难 解 路 径 约 东 进 
行 求解 ， 在 含 复杂 非 线性 约 东 、 三 方 库 函 数 调用 等 的 复杂 代码 案例 上 取得 良好 实验 效 
果 [8l 。 国 防 科技 大 学 的 张 羽 丰 、 陈 振 邦 、 王 戟 等 人 提出 了 猜测 符号 执行 方法 "4 ， 以 减少 
符号 执行 过 程 中 求解 器 的 调用 次 数 。 武 汉 大 学 贾 向 阳 等 提出 了 一 种 基于 约束 之 间 的 逻辑 子 
集 / 超 集 关 系 ， 可 在 符号 执行 中 重用 约束 求解 结果 ， 以 提高 符号 执行 效率 的 方法 21 。 

在 工具 支撑 方面 ， 中 国 科学 院 软件 研究 所 许 振 波 、 张 健 等 人 开发 了 面向 真实 C 语言 
程序 的 符号 执行 分 析 工 具 Canalyzers] ， 支 持 多 种 程序 错误 检测 的 跨 过 程 分 析 框 架 。 到 目 
前 为 止 ，Canalyze 已 经 在 一 些 重要 的 开源 程序 (例如 bftpd-3.8、httpd-2.4.4) 中 找到 上 
百 个 程序 错误 。 国 防 科技 大 学 的 张 羽 丰 、 陈 振 邦 、 王 喜 等 人 基于 JPF 开发 了 针对 Java 的 
动态 符号 执行 工具 ， 在 开源 java 程序 上 发 现 了 多 个 缺陷 ; 同时 ， 开 发 了 C 程序 的 单元 符 
号 执行 工具 ， 支 持 包含 结 构 体 、 动 态 数据 结构 、 指 针 、 浮 点 C 程序 的 符号 化 分 析 ， 并 在 
国防 安全 关键 谋 入 式 控制 程序 上 进行 了 应 用 。 华 东 师 范 大 学 的 苏 亭 、 蒲 戈 光 等 人 开发 了 
C 程序 动态 符号 执行 工具 CAUT， 并 在 多 个 实际 嵌 和 人 式 系统 上 开展 了 应 用 。 
































































































































3.6 形式 验证 工具 以 及 应 用 


3.6.1 软件 形式 验证 工具 


在 软件 形式 化 验证 工具 的 研发 方面 ， 清 华 大 学 形式 化 验证 团队 开发 了 一 个 面向 C 语 
言 的 程序 验证 工具 Ceagle， 并 基于 Ceagle 参加 了 国际 软件 验证 大 赛 (SV- COMP) ， 取 得 
了 2017 年 3 个 二 级 分 支 (ReachSafety: Array，ReachSafety: ECA，MemSafety: Array) 第 
1 名 的 成 绩 。 由 国防 科技 大 学 研发 的 并 行程 序 验证 工具 Yogar-CBMC 在 SV-COMP 2017 和 
SV-COMP 2018 中 连续 两 年 获得 并 行程 序 验 证 冠军 。 该 工具 结合 限界 模型 检测 、 抽 象 精 化 
和 网 分 析 等 方法 对 并 行程 序 的 并 行 行为 进行 抽象 ， 避 免 了 在 限界 模型 检测 过 程 中 生成 复 
杂 的 约束 表达 式 。 国 防 科技 大 学 的 陈 立 前 等 人 基于 抽象 解释 框 名 ， 采 用 开源 编译 器 前 端 
CIL、 开 源 数 值 抽象 域 库 APRON 实现 了 一 个 面向 C 程序 的 数值 静态 分 析 工 具 CAI， 能 
分 析 C 程序 中 变量 的 取 值 范 围 并 检测 除 零 错 、 数 组 越界 、 算 术 上 汶 、 空 指针 解 引用 等 运 
行 时 错误 ， 并 支持 中 断 驱 动 型 伐 入 式 软件 的 分 析 。 

在 软件 形式 化 验证 应 用 方面 ， 国 内 取得 了 系列 成 果 。 中 科 院 软件 所 研究 并 行程 序 的 
数据 竞争 和 死 锁 检测 “*; ;大 连理 工大 学 研究 多 核 限 蜡 模型 检测 “1 ;清华 大 学 研究 面向 
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多 核 处 理 器 的 低级 并 行程 序 验证 号 7 ;国防 科技 大 学 研究 基于 共享 内 存 的 并 行程 序 验 
证 5 。 清 华 大 学 研究 面向 车 辆 总 线 网 络 的 运行 时 验证 ” 。 北 京 邮 电大 学 基于 抽象 解释 
开发 了 缺陷 检测 工具 ”: 。 


3.6.2 混成 系统 验证 工具 


国内 在 混成 自动 机 验证 工具 上 也 取得 系列 成 果 。 中 科 院 软件 所 相关 课题 组 在 混成 系 
统 形式 化 方法 研究 中 开发 了 MARS 和 HHL 证 明 器 等 工具 。MARS 主要 用 于 混成 系统 的 建 
模 分 析 和 验证 Is 。HHL 证 明 器 怪 1 是 面向 混成 系统 的 交互 式 定理 证 明 器 。 它 以 Isabelle/ 
HOL 为 基础 ， 形 式 化 了 以 HCSP(Hybrid CSP) 为 建 模 语 言 ， 以 时 态 演算 为 性 质 描 述 语言 
的 混成 Hoare 逻辑 ， 在 此 基础 上 实现 了 混成 系统 的 验证 框架 。HHL 证 明 器 主要 用 于 验证 
基于 HCSP 的 混成 系统 模型 的 正确 性 。 这 些 工 具 应 用 到 了 高 铁 列 控 系 统 57s] 和 月 球 车 导航 
与 控制 系统 7 等 典型 混成 系统 形式 化 验证 上 。 

南京 大 学 课题 组 所 开发 的 混成 自动 机 验证 工具 集 BACHIs22] 对 单 自 动机 、 组 合 自动 机 
等 线性 混成 系统 提供 全 面 文 持 ， 可 以 对 路 径 验 证 、 有 界 验 证 、 全 局 验证 、 力 至 在 线 验证 
等 问题 进行 快速 判定 "8 。BACH 在 可 处 理 问 题 规模 与 效率 上 较 国 际 相关 领域 工具 具有 明 
显 优势 ， 在 国际 混成 系统 有 界 验 证 工具 比赛 有 界 验证 track 上 连续 两 年 获得 第 一 ， 在 国际 
相关 和 领域 引起 关注 并 产生 影响 。 基 于 工具 集 BACH， 南 大 课题 组 也 开展 了 系列 工业 级 实 
际 系统 应 用 探索 。 相 关 典 型 应 用 包括 CPS 系统 在 线 验证 工作 's: 已 经 成 功 部 署 于 列车 控 
制 国家 工程 中 心 硬 件 在 环 仿真 平台 。 以 BACH 作为 底层 验证 器 的 IoT 验证 修复 工具 原型 
“门神 ”系列 ， 由 于 其 在 智能 家 居 领 域 的 重要 前 景 ， 入 选 微软 年 度 大 会 TechFest， 引 起 广 
泛 关 注 公 1 。 































































































3.7 量子 程序 分 析 与 验证 


中 国 科学 院 软件 研究 所 入 乃 军 研究 组 区 "基于 Jsabelle/HOL 设计 实现 了 一 个 量子 了 loyd- 
Hoare 逻辑 的 定理 证 明 器 。 为 了 提高 其 自动 化 程度 ,文献 【541] 中 研究 了 量子 程序 不 变 式 
与 ranking 函数 的 生成 算法 ， 并 将 量子 程序 不 变 式 生 成 问题 转换 为 半 正 定 规划 问题 。 

中 国 科 学 院 软 件 研 究 所 张 立 军 研究 组 和 悉尼 科技 大 学 合作 开发 了 一 款 模型 检测 工具 
QPMC5“] 。 该 工具 使 用 了 一 种 类 似 于 概率 模型 检测 工具 PRISML 的 语法 ， 可 以 对 简单 量 
子 程序 和 协议 的 QCTL 性 质 进 行 自动 化 验证 。 


























4 内 外 研究 进展 比较 


4.1 定理 证 明 








交互 式 定 理 证 明 在 国内 的 起 步 较 晚 ， 一 直到 2000 年 以 后 ， 清 华 大 学 、 华 东 师 范 大 学 
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等 相继 举办 Cod 暑期 班 ， 它 在 国内 形式 化 方法 领域 才 逐 渐 得 到 推广 应 用 。 国 外 对 于 交互 
式 定理 证 明 的 理论 技术 和 应 用 两 方面 都 进行 了 研究， 而 国内 主要 集中 于 交互 式 定理 证 明 
在 形式 化 领域 的 应 用 研究 。 近 年 来 ， 由 于 安全 依 关 软件 的 发 展 需求 ， 国 内 关于 交互 式 定 
理 证 明 在 系统 验证 等 方向 的 应 用 研究 明显 增多 ， 也 取得 了 一 些 显著 的 成 果 ， 但 距离 国际 
领先 水 平 仍 存 在 些许 差距 。 

国内 外 对 SMT 的 研究 ， 大 致 是 因为 国外 起 步 较 早 ， 所 以 研究 成 体系 ， 技 术 比 较 成 
熟 。 国 内 的 研究 起 步 较 晚 ， 但 是 在 某 些 特定 的 研究 方向 上 有 一 定 优势 。SMT 在 国外 的 发 
展 有 很 长 的 历史 ， 主 流 的 求解 算法 均 产 生 在 国外 的 人 钱 守 机构。 欧美 的 一 些 大 学 和 科 侠 机 
构成 立 有 专门 的 SMT 研究 组 ， 并 开发 出 一 系列 成 熟 的 求解 工具 。 最 具 影 响 力 的 SMT 求解 
器 有 Z3 、CVC4， 其 中 微软 在 很 长 一 段 时 间 内 处 于 领先 地 位 。 

相对 来 说 ， 国 内 专门 研究 SMT 的 研究 组 较 少 ， 只 有 中 科 院 、 清 华 等 少数 科研 院 所 和 
高 校 的 科研 人 员 从 事 这 一 研究 。 就 研究 内 容 而 言 ， 国 内 的 研究 工作 重点 放 在 一 些 新 兴 
向 上 面 ， 所 研发 的 求解 天 支持 的 理论 较 少 。 





























4.2 形式 模型 


关于 概率 自动 机 模型 的 研究 ， 绝 大 多 数 活 路 在 国外 ， 国 内 对 于 概率 自动 机 模型 的 研 
究 尚 还 不 够 重视 ， 活 跃 在 这 一 领域 的 学 者 还 是 太 少 。 一 方面 ,我国 概率 模型 检测 的 起 步 
相对 落后 于 西方 ， 从 2010 年 以 后 才 陆 续 出 现 我 国学 者 在 这 一 领域 发 表 成 果 ; 另 一 方面 ， 
概率 自动 机 模型 的 研究 往往 是 跨 学 科 、 蜂 青 景 的， 需要 一 些 背 景 知 识 和 人 研 究 经 验 。 不 过 
令 人 欣喜 的 是 ， 近 些 年 来 越 来 越 多 的 中 国学 者 在 这 一 方向 有 所 成 果 、 我 们 也 能 时 常 在 这 
一 领域 看 到 中 国学 者 的 名 字 。 我 们 在 概率 自动 机 以 及 概率 模型 检测 方面 的 脚步 ， 已 经 有 
追赶 上 国外 的 趋势 。 纵 观 这 一 领域 ， 某 个 重要 的 定义 或 者 重要 领域 的 发 现 和 开发 往往 源 
于 西方 ， 而 我 国学 者 在 之 后 能 做 出 相当 多 的 成 果 ， 这 表明 现在 国内 已 经 具有 研究 概率 模 
型 检测 的 能 力 和 实力 ， 但 在 创新 性 方面 表现 略 显 不 足 。 

总 体 来 讲 ， 国 内 在 混成 自动 机 模型 的 研究 方面 处 于 国际 前 治 ， 与 美国 和 欧洲 等 处 于 
同一 水 平 。 近 年 来 ， 中 国 科学 院 软 件 鲜 究 所 、 华 东 师 范 大 学 、 南 束 大 学 、 北 京 航空 航天 
大 学 等 团队 在 混成 系统 建 模 、 验 证 、 分 析 和 设计 等 方面 取得 多 项 具有 国际 影响 的 成 果 ， 
例如 ， 中 科 院 软件 所 钼 万 军 等 解决 了 半 代 数 集成 为 多 项 式 混 成 系统 不 变 式 的 充 要 条 件 问 
题 ， 首 次 提出 了 时 谐 混 成 系统 形式 验证 问题 等 ; 北京 航空 航天 大 学 余 志 坤 等 提出 基于 数 
值 求解 的 混成 系统 可 达 集 高 效 计算 方法 等 。 

在 无 穷 状态 并 发 系统 模型 的 镀 究 中 ， 国 内 的 人 钱 究 进展 与 国外 几 个 项 级 实验 室 进展 速 
度 相 当 ， 多 方 之 间 在 友好 再 争 当中 ， 获 得 了 越 来 越 多 的 成 果 。 



























































4.3 形式 语义 与 形式 建 模 





目前 国内 程序 语言 形式 语义 研究 人 员 相 比 国 外 程序 语言 全 究 者 俩 少 ， 人 研究 力量 不 足 ， 
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归 其 原因 是 这 方面 的 工作 比较 基础 和 冷门 ， 入 门 门槛 高 且 就 业 难 。 

在 操作 语义 和 指称 语义 方面 ， 国 外 大 部 分 对 工业 级 程序 语言 的 语义 进行 研究 ， 对 语 
义 通 常会 在 定理 证 明 器 或 K 框架 中 实现 ， 实 现 的 语义 会 进行 测试 并 用 于 程序 的 分 析 和 验 
证 ; 对 语义 的 研究 不 仅仅 为 了 更 好 地 理解 程序 语言 ， 而 是 为 了 更 好 地 对 程序 进行 分 析 和 
验证 。 与 之 相反 ， 国 内 程序 语言 的 语义 研究 ， 主 要 ( 除 Rust 外 ) 是 针对 一 些 学术 性 语 
言 ， 还 停留 在 形式 语义 研究 初期 的 目的 ， 即 为 了 更 好 地 理解 程序 语言 ， 而 非 对 这 些 语 义 
进行 应 用 。 

尽管 国内 形式 建 模 方面 的 研究 在 近 5 年 有 较为 快速 的 发 展 ， 也 有 大 量 的 论文 发 表 ， 
然而 与 国外 研究 相 比 ， 国 内 的 研究 多 是 在 国际 上 提出 的 形式 模型 的 基础 上 ， 做 一 些 扩展 
性 研究 工作 ， 缺 少 原创 性 工作 。 另 外 ， 与 国外 许多 相对 成 熟 的 建 模 与 验证 工具 相 比 ， 如 
SPINI 、PATI2 、 有 框架" 、UPPAALE 等 ， 国 内 开发 的 形式 建 模 工 具 多 是 已 有 工 
具 的 扩展 ， 缺 少 独立 开发 的 原创 性 工具 ， 导 致 在 国际 上 的 影响 较 小 。 

另 一 方面 ， 形 式 化 方法 作为 解决 工业 应 用 领域 系统 安全 可 靠 性 问题 的 重要 技术 ， 在 
国内 缺少 比较 有 影响 力 的 成 功 案 例 。 国 际 上 ， 有 很 多 有 影响 力 的 案例 使 得 产业 界 对 形式 
化 建 模 与 验证 有 足够 的 重视 ， 如 Event-B 曾 成 功用 于 巴黎 地 铁 的 设计 与 开发 'e 51 ， 亚 马 逊 
也 将 TLA + 用 于 Web Service 的 设计 与 开发 茎 ] 。 然 而 ， 国 内 产业 界 由 于 形式 化 方法 过 于 
抽象 、 扩 展 性 等 问题 ， 对 形式 化 的 重视 力度 不 够 ， 在 系统 的 实际 设计 与 开发 过 程 中 未 充 
分 发 挥 形式 化 方法 的 作用 ， 缺 少 具有 影响 力 的 成 功 案例 。 






























































4.4 形式 规约 


国内 从 事 形式 规约 的 研究 人 员 不 多 ， 目 前 流行 的 形式 规约 语言 ， 比 如 分 离 逻辑 、 时 
序 逻 辑 等 ， 基 本 是 国外 的 研究 人 员 提 出 来 的 。 国 内 研究 人 员 在 形式 规约 语言 的 研究 工作 
集中 在 对 已 有 规约 语言 的 理论 性 质 〈 比 如 表达 能 力 和 判定 算法 ) 的 探讨 上 。 国 内 研究 人 
员 最 近 5 年 在 分 离 逻 辑 和 时 序 逻 辑 的 各 种 扩展 上 开展 了 较 深 入 的 工作 ， 总 体 来 讲 较 以 前 
有 所 进步 。 





4.5 形式 验证 技术 与 方法 





与 国际 人 研究 现状 相 比 ， 国 内 在 基于 演绎 推理 的 验证 技术 方面 工作 相对 较 少 ， 特 别 是 
在 新 型 验证 理论 和 程序 逮 辑 方面 的 工作 相对 较 少 。 关 注 的 程序 性 质 主要 集中 在 功能 正确 
性 方面 ， 对 于 其 他 性 质 〈 如 信息 流 控 制 等 安全 性 ) 的 验证 工作 较 少 。 在 并 发 程序 精 化 验 
证 方面 ， 特 别 是 并 发 程序 的 活性 验证 方面 的 工作 处 于 国际 领先 的 地 位 。 

我 国 在 实际 系统 方面 的 验证 工作 较为 活跃 ， 但 很 多 工作 集中 在 模型 和 算法 层面 ， 对 于 
代码 的 验证 工作 相对 较 少 。 与 国际 同行 相 比 ， 验 证 的 系统 的 规模 和 影响 力 上 面 有 所 从 缺 。 

近年 来 ， 国 外 在 抽象 解释 的 理论 、 方 法 、 工 具 等 方面 形成 了 许多 有 影响 力 的 成 果 ， 
也 形成 了 较 多 有 影响 力 的 开源 和 商业 化 的 有 效 工 具 平 台 ， 并 且 有 些 工 具 在 工业 界 取得 了 
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成 功 应 用 。 国 内 在 新 型 抽象 域 的 设计 与 实现 、 特 定 领域 应 用 (如 中 断 驱 动 型 程序 的 分 
析 ) 方面 研究 形成 特色 。 然 而 ， 国 内 在 基于 抽象 解释 的 程序 分 析 工 具 研发 、 产 业 影响 等 
方面 还 与 国外 存在 一 定 差 距 ， 相 信 随 着 国内 软件 可 信和 需求 的 不 断 提 升 ， 差 距 会 不 断 缩 小 。 

在 模型 检测 方面 ， 近 年 来 ， 国 外 在 软件 形式 化 验证 的 理论 、 方 法 和 技术 等 方面 产生 了 
大 量 有 影响 力 的 成 果 ， 形 成 了 许多 高 效 的 软件 形式 化 验证 工具 。 国 内 在 特定 领域 的 研究 形 
成 特色 ,已 经 达到 国际 领先 的 水 平 ， 如 国防 科技 大 学 研发 的 并 行程 序 验 证 工具 Yogar- 
CBMC 等 。 

在 符号 执行 方面 ， 总 体 而 言 ， 国 内 在 符号 执行 各 个 方面 的 研究 正 逐 渐 与 国外 接轨 ， 包 
括 理论 、 方 法 与 工具 等 ， 国 内 相关 研究 学 者 的 工作 也 能 发 表 在 主流 的 符号 执行 相关 的 国际 
会 议 或 期 刊 上 ， 这 些 工 作 也 引起 了 国外 学 者 的 注意 ， 同 时 与 国外 相关 学 者 的 交流 与 合作 也 
越 来 越 多 。 然 而 ， 国 内 在 符号 执行 的 工具 和 平台 的 开发 、 产 业 影 响 方面 还 与 国外 存在 一 定 
差 距 ， 相 信 随 着 国内 软件 行业 自主 可 控 需 求 的 不 断 提升 ， 这 部 分 的 差距 会 不 断 缩 小 。 












































4.6 形式 验证 工具 以 及 应 用 





近 10 年 来 ， 国 外 在 软件 形式 化 验证 的 理论 、 方 法 和 技术 等 方面 产生 了 大 量 有 影响 力 的 
成 果 ， 形 成 了 许多 高 效 的 软件 形式 化 验证 工具 。 国 内 在 软件 形式 化 验证 工具 开发 方面 起 步 
较 晚 ， 通 用 工具 的 研发 与 国外 仍 存在 较 大 差距 。 然 而 ， 国 内 在 某 些 特定 领域 的 研究 形成 特 
色 ， 已 经 达到 国际 领先 的 水 平 ， 如 国防 科技 大 学 研发 的 并 行程 序 验证 工具 Yogar- CBMC 等 。 

在 混成 自动 机 验证 工具 方面 ， 国 内 外 研究 各 有 侧重 与 特色 。 国 内 工作 在 混成 系统 定 
理 证 明 、 线 性 混成 自动 机 有 界 验证 等 领域 处 于 国际 领先 地 位 。 而 国外 近年 来 则 在 非 线性 
混成 自动 机 有 界 可 达 性 检验 方面 取得 系列 进展 ， 开 发 了 以 Flow ”、SpaceFx 等 为 代表 的 系 
列 工具 。 
































4.7 量子 程序 分 析 与 验证 


从 量子 程序 的 分 析 与 验证 来 计 ， 国 内 与 国外 基本 处 于 同一 水 平 ， 国 内 中 科 院 软件 所 
应 明生 教授 团队 在 量子 程序 的 分 析 与 验证 方面 处 于 国际 引领 地 位 。 





5 发 展 趋势 与 展望 


5.1 定理 证 明 


定理 证 明 本 质 上 可 以 看 作 一 个 证 明 搜 索 问题 。 由 于 一 般 使 用 的 逻辑 的 不 可 判定 性 ， 
一 个 能 够 高 效率 地 解决 所 有 证 明 问题 的 算法 是 不 存在 的 。 因 此 局 发 法 〈heuristic) 的 使 用 
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尤其 重要 。 目 前 交互 式 定理 证 明 里 的 自动 化 在 一 般 情 况 下 还 远 远 不 及 人 类 的 能 力 ， 其 中 
主要 问题 是 人 在 证 明 中 使 用 的 有 目的 的 搜索 还 无 法 在 计算 机 上 实现 。 机 器 学 习 ， 尤 其 是 
深度 学 习 的 方法 为 实现 这 种 有 目的 的 搜索 提供 了 新 的 希望 。 文 献 [34] 中 首次 把 递归 神 
经 网 络 运用 到 定理 证 明 问题 上 。 在 这 项 工作 中 ， 机 器 学 习 被 用 于 使 用 自动 定理 证 明 器 之 
前 筛选 已 有 定理 〈premise selection) ， 但 没有 用 于 指导 证 明 搜 索 本 身 。 对 使 用 各 种 机 央 学 
习 方 法 指导 证 明 搜索 本 身 也 开始 有 一 些 研究 ， 比 如 文献 【36-38 ] 。 使 用 机 器 学 习 的 一 个 
主要 问题 是 如 何 获取 大 量 的 可 供 学 习 的 数据 。 现 在 使 用 的 一 些 主 要 的 数据 库 来 自 Mizar 和 
HOL Light， 各 包括 几 万 个 定理 。 更 大 的 数据 库 还 有 竺 建立。 除了 定理 证 明 本 身 ， 机 器 学 
习 也 开始 应 用 于 非 形式 化 数学 到 形式 化 数学 的 自动 转换 ] 。 

当前 基于 DPLL(T) 框架 的 主流 SMT 求解 技术 已 经 趋 于 成 熟 ， 但 尚 不 能 完全 满足 现 
实 应 用 的 需要 ， 在 一 些 特定 的 发 展 方向 上 仍 有 很 大 的 研究 空间 ， 包 括 SMT 的 扩展 问题 、 
非 完 备 求解 算法 等 。 

SMT 本 身 为 判定 问题 ， 但 科学 研究 和 现实 世界 中 的 很 多 问题 不 仅 关 心 解 的 存在 性 ， 
而 且 要 进一步 探寻 最 优 解 ， 力 至 解 空 间 的 大 小 ， 因 此 对 SMT 问题 类 型 的 扩展 近年 来 引起 
了 国际 学 界 的 重视 。 上 文 所 提 到 的 SMT 解 计 数 问题 即 是 一 个 重要 的 SMT 扩展 问题 ， 在 程 
序 分 析 与 验证 、 近 似 推 理 等 领域 有 广泛 的 应 用 前 景 。 另 一 个 热门 的 扩展 方向 是 将 SMT 由 
判定 问题 扩展 到 优化 问题 ， 即 优化 模 理 论 〈optimization modulo theory) 。 优 化 模 理 论 问题 
旨 在 求 出 满足 SMT 约束 的 最 优 解 ， 在 实际 应 用 中 很 有 意义 。 目 前 代表 性 的 研究 来 自 于 意 
大 利 Trento 大 学 [88 人 8] 训 

作为 一 个 SMT 求解 的 完备 算法 框 扣 ，DPLL(CT) 虽然 已 取得 了 巨大 的 成 功 ， 但 本 质 
上 是 基于 回 湖 框 架 的 指数 级 复杂 度 的 算法 ， 其 求解 效率 难以 持续 突破 ， 在 求解 规模 上 很 
受 限 制 。 近 年 来 ， 在 SAT 领域 ， 基 于 局 部 搜索 的 SAT 算法 在 工业 化 的 例子 上 取得 了 较 大 
成 功 ， 与 基于 CDCL 的 完备 算法 形成 了 并 鸭 齐 驱 的 局 面 。 在 SMT 领域 ， 当 前 已 有 非 完 备 
的 SMT 求解 算法 出 现 ， 主 要 用 于 BV 理论 。 非 完备 算法 在 设计 上 具有 灵活 性 ， 并 对 问题 
的 规模 不 敏感 ， 会 是 将 来 SMT 求解 算法 的 一 个 发 展 趋势 。 







































































5.2 形式 模型 


概率 自动 机 模型 不 仅 在 概率 模型 检测 上 有 重要 的 理论 价值 和 应 用 场景 ， 在 概率 程序 
语义 和 验证 [91，99] 、 随 机 算法 [115，72，105] 甚至 机 器 学 习 领 域 "”… 呈 也 都 有 着 广 
泛 的 应 用 。 这 表明 ， 概 率 自 动机 模型 不 仅 在 形式 化 验证 领域 是 一 个 有 研究 价值 的 热门 话 
题 ， 在 计算 机 的 其 他 领域 ， 甚 至 数学 、 物 理 、 生 物 、 医 学 等 其 他 自然 科学 领域 ， 也 都 有 
着 相当 广泛 的 研究 前 景 ， 包 括 概率 自动 机 模型 及 其 相关 理论 、 验 证 问题 和 应 用 都 有 广泛 
的 研究 空间 和 很 高 的 研究 价值 。 经 过 了 近 30 年 对 概率 模型 检测 的 研究 ， 甚 理论 基础 已 十 
分 坚实 ， 很 多 重要 问题 已 经 得 到 解决 ， 但 同时 不 乏 一 些 重 要 的 公开 问题 (如 PCTL 公式 
可 满足 性 的 判定 问题 ) 仍然 存在 。 这 一 领域 仍 有 很 多 虽然 看 起 来 不 大 却 依然 重要 的 问题 
有 待 解决 和 开发 ， 同 时 该 领域 与 计算 机 科学 其 他 领域 及 其 他 自然 科学 的 结合 也 必 将 成 为 


























5 ”发展 趋势 与 展望 35 


新 的 研究 方向 。 

混成 自动 机 模型 的 鲜 究 取得 了 一 定 的 进展 ， 但 仍 有 许多 问题 有 亚 待 解决 。 未 来 5 年 ， 
混成 自动 机 模型 的 研究 将 集中 在 以 下 几 个 方面 : 随机 和 概率 混成 系统 的 形式 验证 ， 时 消 
混成 系统 的 形式 验证 ， 大 规模 非 线性 混成 动态 模型 的 形式 验证 ， 开 放 动 态 模型 的 行为 预 
测 与 验证 。 

无 穷 状态 并 发 系统 模型 斌 究 方面 取得 了 很 大 的 进展 ， 有 关 强 互 模拟 的 判定 问题 大 部 
分 已 解决 ， 而 当 人 允许 内 部 迁移 时 ， 互 模拟 的 可 判定 性 结果 很 少 。 所 以 着 重 解决 2. 2.3 节 
表 1 中 列 出 的 悬而未决 的 公开 问题 ， 是 本 领域 的 趋势 。 因 为 这 些 问 题 长 期 公开 ， 所 以 用 
已 有 的 证 明 方法 很 难得 到 结果 ， 如 何 开发 新 的 证 明 方法 ， 是 这 一 领域 的 关键 所 在 。 









































5.3 形式 语义 与 形式 建 模 


从 目前 国内 外 程序 语言 语义 的 人 猎 究 来 看 ， 未 来 程序 语言 语义 的 研究 将 针对 工业 级 的 
程序 语言 ， 而 非 学 术 性 无 实际 应 用 的 语言 ;语义 研究 的 目的 也 不 在 仅仅 为 了 更 好 地 理解 
程序 语言 ， 而 是 为 了 更 好 地 对 程序 进行 分 析 与 验证 。 

另 一 方面 ， 多 年 前 就 寄 望 于 程序 语言 设计 者 在 设计 语言 时 对 程序 的 语义 进行 形式 化 
定义 的 问题 尚未 解决 。 昌 然 在 学 术 性 程序 语言 提出 时 ， 设 计 者 会 给 出 其 形式 语义 ， 但 是 
对 于 工业 级 程序 语言 ， 比 如 C、Rust 和 Go， 设计 者 都 没有 定义 形式 语义 ， 黄 至 没有 完整 
的 形式 化 语法 定义 。 主 要 原因 是 工业 级 程序 语言 相对 复杂 ， 语 义 的 定义 困难 ， 有 具备 这 方 
面 能 力 的 工业 界 人 员 少 ， 也 没有 易 用 的 语义 开发 框架 。 

新 型 计算 系统 如 大 数据 系统 、 人 工 智能 系统 、 无 人 驾驶 系统 等 的 出 现 为 形式 建 模 技 
术 的 发 展 带 来 新 的 机 遇 和 挑战 。 系 统 的 智能 性 、 实 时 性 、 空 间 离 散 性 等 特征 对 系统 的 安 
全 性 和 可 靠 性 提出 更 高 的 要 求 ， 迫 切 需 针 对 这 些 系 统 的 特性 发 展 新 的 建 模 理 论 、 方 法 和 
工具 ， 这 将 成 为 形式 化 方法 领域 研究 的 热点 问题 。 然 而 随 着 系统 的 复杂 性 越 来 越 高 、 特 
性 越 来 越 多 ， 很 难 定义 一 种 统一 的 建 模 方法 来 完整 地 撒 述 系统 的 所 有 特性 。 如 何在 模型 
的 表达 能 力 与 验证 问题 的 可 判定 性 及 复杂 度 等 方面 做 出 取舍， 都 是 非常 具有 挑战 性 的 
下 民 















































5.4 形式 规约 





新 的 计算 模式 比如 大 数据 、 机 融 学 习 算法 等 不 断 育 现 。 这 些 计 算 模 式 下 的 程序 的 行 
为 与 经 典 的 串 行 和 并 发 程序 非常 不 同 ， 需 要 设计 新 的 规约 语言 以 及 分 析 验 证 方法 与 技术 。 
针对 这 些 新 的 计算 模式 的 形式 规约 语言 将 是 今后 5 年 左右 的 研究 热点 。 





5.5 形式 验证 技术 与 方法 





近年 来 ， 伴 随 着 云 计算 、 人 工 智 能 等 各 种 研究 热点 ， 在 相关 领域 中 开展 的 验证 也 越 
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来 越 得 到 人 们 的 重视 。 在 云 计算 和 分 布 式 系 统 验 证 方面 ， 逐 步 出 现 了 一 些 对 分 布 式 算法 
和 系统 的 验证 工作 5 。 但 其 中 对 分 布 式 数 据 一 致 性 协议 和 算法 的 验证 尚 处 于 起 步 阶 
段 ， 国 内 外 相关 工作 较 少 。 

人 工 智能 算法 和 演绎 推理 技术 的 结合 是 另外 一 个 很 有 发 展 前 景 的 方向 。 国 内 外 已 经 
有 了 初步 的 采用 模型 检测 或 者 其 他 技术 来 对 人 工 智 能 算法 进行 验证 的 工作 ， 但 基于 演绎 
推理 的 验证 工作 较 少 。 这 里 的 主要 困难 在 于 ， 基 于 演绎 推理 的 验证 技术 需要 对 正确 性 有 
形式 化 定义 〈 什 么 是 正确 ) ， 同 时 验证 过 程 本 身 要求 明 确 验证 对 象 工作 的 原理 (为 什么 
正确 ) 。 而 以 上 这 两 点 在 人 工 智能 研究 领域 尚未 有 明确 答案 。 

未 来 ， 抽 象 解释 技术 将 进一步 在 新 的 架构 、 语 言 、 应 用 等 实际 需求 驱动 下 不 断 发 展 ， 
值得 关注 的 方向 包括 对 弱 内 存 模 型 的 分 析 验 证 [ss2l 、 神 经 网 络 的 分 析 与 验证 [ss 、 
大 数据 处 理 相关 错误 的 分 析 !s] 、Python 程序 的 自动 分 析 Ise] 等 。 与 约束 求解 、 自 动 推 
理 、 人 工 智能 等 基础 支撑 技术 的 紧密 结合 [858,350,328,341 ,357] 将 是 抽象 解释 后 续 研 究 趋势 之 
一 。 同 时 ， 降 低 误 报 率 将 依然 是 基于 抽象 解释 的 程序 分 析 技 术 拓展 实际 应 用 的 研究 
挑战 和 重点 。 

在 模型 检测 部 分 ,我们 主要 侧重 于 一 般 软 件 代 码 近年 来 相关 验证 工作 的 介绍 。 在 此 之 
外 ， 近 年 来 相关 领域 关注 热点 进一步 拓展 到 针对 多 线程 代码 验证 ， 对 递归 等 特定 类 型 程序 
验证 ， 对 领域 相关 代码 验证 等 。 除 了 上 述 安全 性 (safety)/ 可 达 性 验证 (reachability) 之 外 ， 
软件 代码 的 活性 〈liveness)/ 可 终止 性 〈termination) 验证 也 是 近年 来 关注 热点 所 在 。 

在 符号 执行 方面 ， 符 号 执行 技术 将 进一步 在 软件 工程 、 安 全 、 系 统 、 网 络 等 相关 和 领 
域 的 实际 需求 驱动 下 不 断 发 展 ， 面 向 大 规模 软件 的 高 效 符 号 执行 方法 、 技 术 和 工具 将 是 
下 一 步 的 研究 挑战 和 重点 ; 同时 ， 符 号 执行 搜索 策略 的 更 加 智能 化 也 将 是 下 一 步 的 研究 
重点 ; 此 外 ， 与 其 他 技术 在 不 同 层面 的 密切 结合 ， 以 进一步 提高 软件 分 析 效果 ， 也 将 是 
符号 执行 后 续 的 研究 趋势 之 一 。 




























































































5.6 形式 验证 工具 以 及 应 用 





软件 形式 化 验证 面临 严重 的 状态 空间 爆炸 问题 。 软 件 形式 化 验证 工具 研发 的 一 个 重 
要 趋势 是 多 技术 融合 。 利 用 形式 化 方法 的 严格 性 和 其 他 技术 的 可 伸缩 性 ,力求 在 验证 规 
模 和 验证 精度 上 达成 协调 和 统一 。 

混成 系统 由 于 其 行为 离散 、 连 续 交 织 非常 复杂 ， 难 以 掌握 与 控制 ， 现 阶段 可 进行 有 
效 分 析 的 系统 种 类 和 规模 仍 有 一 定 限 制 。 当 前 主要 关注 问题 包括 大 规模 组 合 非 线性 混成 
系统 验证 、 开 放 动 态 系统 行为 预测 与 验证 、 概 率 随 机 行为 建 模 与 验证 、 混 成 系统 控制 生 
成 以 及 混成 系统 测试 生成 等 。 相 关 领 域 科 研 人 员 力 图 在 上 述 问题 上 取得 突破 ， 力 网 对 实 
际 系统 规模 问题 具备 分 析 能 力 ， 从 而 保障 相关 系统 运行 安全 。 




















5.7 量子 程序 分 析 与 验证 








总 的 来 说 ， 昌 然 量子 程序 的 分 析 与 形式 化 验证 领域 已 经 取得 了 一 些 可 喜 的 进展 ， 但 
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目前 的 研究 还 非常 零散 ， 很 多 问题 甚至 还 不 清楚 如 何 准确 定义 。 这 大 体 上 有 两 方面 的 
原因 : 

1) 尽管 最 近 几 年 量子 硬件 设备 的 物理 实现 取得 了 长 足 的 进展 ， 但 距离 能 够 运行 真正 
实用 的 量子 程序 的 通用 量子 计算 机 仍然 非常 和 斩 远 。 因 此 绝 大 部 分 传统 计算 机 科学 家 以 及 
程序 设计 和 验证 方面 的 专家 还 持 观 望 态度 ， 并 没有 对 这 一 领域 给 予 足够 多 的 重视 。 

2) 由 于 量子 程序 和 传统 计算 机 程序 相 比 具有 很 大 的 不 同 ， 特 别 是 由 于 量子 到 加 和 纠 
缠 的 存在 ， 量 子 程序 的 验证 往往 非常 困难 。 但 是 ， 我 们 有 理由 相信 ， 量 子 程序 理论 和 验 
证 的 研究 将 会 吸引 越 来 越 多 计算 机 科学 家 的 关注 ， 从 而 带动 这 一 领域 鞍 勃 发 展 。 





























6 结束语 








形式 化 方法 是 计算 机 科学 的 传统 研究 方向 ， 其 涵盖 很 多 不 同 的 研究 方向 。 本 报告 对 
形式 化 方法 各 个 方面 的 近 5 年 的 研究 进展 进行 了 相对 全 面 的 总 结 ， 对 发 展 趋势 进行 了 展 
望 。 希 望 本 报告 能 够 让 计算 机 科学 与 技术 的 其 他 领域 的 研究 人 员 和 开 产业 界 的 从 业 人 员 
更 好 地 了 解 形式 化 方法 这 个 学 科 的 内 涵 、 外 延 以 及 国内 外 研究 现状 ， 促 进 形式 化 方法 跟 
其 他 领域 的 交叉 融合 ， 促 使 形式 化 方法 在 开 产业 界 得 到 更 多 应 用 。 
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